Petit article politique au titre racoleur j’en conviens. Récemment La quadrature du Net a relayé l’affaire des inculpés du 8 décembre concernant des militants à qui on reproche d’avoir eu recours à des méthodes de chiffrement de leurs communications. Le simple fait d’utiliser des outils qui protègent la vie privée est assimilé à un comportement terroriste. Je vous invite à lire l’article de La Quadrature :

et la tribune publiée cette semaine sur le site du Monde

https://www.lemonde.fr/idees/article/2023/06/14/attaches-aux-libertes-fondamentales-dans-l-espace-numerique-nous-defendons-le-droit-au-chiffrement-de-nos-communications_6177673_3232.html

Cette criminalisation de l’utilisation des outils de protection de la vie privée intervient dans un contexte particulier puisque nous sommes en juin 2023 et nous célébrons les 10 ans de l’affaire Snowden qui a révélé l’étendue des dispositifs de surveillance mis en place par les agences de renseignement américaines. La collusion entre les GAFAM et les officines panoptiques américaines a entraîné une relative prise de conscience collective et une envie de reprendre le contrôle sur notre vie privée en utilisant des outils et des services adaptés. La privacy est devenu un argument marketing et plusieurs acteurs ont émergé pour se frayer une place sur ce nouveau marché.

Quel lien entre des militants révolutionnaires et des bibliothécaires ?

A première vue, le lien n’est pas évident et il faut les adducteurs de JCVD (mate la réf à Médine) pour établir un pont entre les deux. Comme le rappelle La Quadrature, le parquet national anti-terroriste considère que le recours aux outils protégeant la vie privée s’apparente à des méthodes de terroristes mais que la formation à l’utilisation de ces outils aussi.

L’incrimination des compétences informatiques se double d’une attaque sur la transmission de ces dernières. Une partie entière du réquisitoire du PNAT, intitulée « La formation aux moyens de communication et de navigation sécurisée », s’attache à criminaliser les formations à l’hygiène numérique, aussi appelées « Chiffrofêtes » ou « Cryptoparties »

https://www.laquadrature.net/2023/06/05/affaire-du-8-decembre-le-chiffrement-des-communications-assimile-a-un-comportement-terroriste/

On touche du doigt le lien qui s’établit dès lors entre la mouvance de l’ultra-gauche, des éco-terroristes et les bibliothécaires, ou devrais-je dire les biblio-terroristes. En effet, nombre de bibliothécaires se sont engagé-s depuis des années maintenant dans la protection des données personnelles et la défense de la vie privée des usagers. Dès lors, les bibliothèques qui organisent des ateliers pour apprendre à se déGAFAMiser et adopter des outils protégeant la vie privée sont-elles des repères de terroristes ? Nous organisons des ateliers pour former les usagers. Si on s’appuie sur la conception du PNAT, nous contribuons donc à former des terroristes en puissance. Nous incarnons dans ce cas une forme de séparatisme républicain. A l’image des Soulèvements de la Terre, sommes-nous exposé-es à une menace de dissolution ?

• Vous organisez des ateliers pour passer de Windows à Linux ? Terroristes !
• Vous organisez des crypto parties ? Terroristes !
• Vous proposez des collections pour aider les usagers à reprendre le contrôle sur leur vie privée ? Au pilon le Guide de l’autodéfense numérique, bande de terroristes !
• Vous avez fait venir des militants des logiciels libres ? Terroristes !

La criminalisation de l’utilisation des outils de protection de la vie privée représente un problème à la fois démocratique mais aussi éthique. En effet, la question du droit au respect à la vie privée est fondamentalement inscrite dans l’ADN des bibliothèques. La remise en cause de cette liberté fondamentale est indirectement une remise en question des bibliothèques et de leurs missions. Le droit à la vie privée est consacré par un certains nombre de textes nationaux (Article 9 du Code Civil, loi informatique et liberté, jurisprudence du Conseil Constitutionnel…) et internationaux (Déclaration universelles des droits de l’homme de 1948, RGPD…) mais aussi dans des documents essentiels qui fondent les missions des bibliothèques (Manifeste de l’Unesco sur les bibliothèques publiques, IFLA, Charte Bib’lib de l’ABF…). De ce fait, pouvons-nous, en tant que profession, rester insensible et ne pas prendre position contre la criminalisation de l’utilisation des outils garantissant un droit à la vie privée ?

En tant que militant des libertés numériques, cette question me paraît fondamentale. Je ne peux pas m’empêcher de penser au débat, qu’il y a eu au sein de l’ABF il y a quelques années sur la question de la surveillance, engagé après la vague d’attentats qui a frappé la France. Si aujourd’hui l’association est prête à prendre des positions plus politiques notamment par rapport à l’organisation du congrès de l’IFLA à Dubaï, je regrette que ce courage politique n’a pas été assumé dès 2017-2018 quand nous étions quelques-un-es à essayer de défendre la protection de la vie privée des usagers. Pour les plus jeunes, je vous invite à lire ces tribunes que nous avions publiées à cette occasion.

Il y a 5 ans, on discutait au sein de la profession de sujets qui aujourd’hui sont en train de prendre une dimension liberticide extraordinaire. Je suis retombé sur ce commentaire, en réponse à l’ABF dans lequel j’exprimais une inquiétude sur le fait de légitimer et d’accepter la surveillance, qui avait un caractère prémonitoire assez déroutant :

Dans moins de 5 ans sont prévues des échéances électorales importantes. Ce qui a été accepté aujourd’hui se retournera probablement contre nous. Rendez-vous en 2027 quand l’extrême-droite sera au pouvoir.

On poursuit la publication des guides consacrés à la protection de la vie privée édité par l’ALA. Selon moi, ce troisième volume est un des plus importants de la série. Il aborde la question de la confidentialité en dehors du prisme du numérique. On associe souvent la protection de la vie privée et des données personnelles aux risques de surveillance et de pistage en ligne. Or, ce n’est qu’un volet des actions que nous pouvons mener pour protéger le droit à la vie privée des usagers. Il ne faut pas négliger la partie déconnectée de la confidentialité. Nos organisations et le fonctionnement de nos bibliothèques compromettent souvent ce droit. C’est en cela que ce troisième guide est important. Il nous invite à repenser nos espaces, nos procédures et notre façon de collecter des données personnelles d’usagers. Bien que ce guide soit réalisé par nos confrères américains, qui ne sont pas soumis au RGPD, on retrouve des principes-clés du règlement qui encadre l’utilisation des données personnelles. Je pense notamment au principe de minimisation des données collectées et de ne recueillir que ce qui est strictement nécessaire à une finalité (slide 9). Le guide fait également référence à des textes spécifiques aux bibliothèques américaines (slide 10). Cependant, nous pouvons avoir des textes équivalents en France (la Charte Bib’Lib de l’ABF). Enfin, le grand intérêt de guide est qu’il s’adresse à l’ensemble des bibliothécaires. Il n’implique aucune compétence numérique particulière. Tout le monde peut s’en emparer et tenter de rendre la bibliothèque plus confidentielle.

Je poursuis la traduction des guides relatifs à la vie privée réalisés par l’American Library Association. Le premier guide était consacré aux gestes et techniques de bases à acquérir avant de pouvoir aborder ce sujet auprès des usagers ou de ses collègues. Ce deuxième volume fournit donc des conseils et des astuces pour réussir à discuter de la vie privée auprès des usagers. Si parler de protection de la vie privée est plus facile, cela reste toutefois un sujet minimisé. J’espère que ce guide sera utile à celles et ceux qui souhaitent faire entrer la protection de la vie privée et des données personnelles dans leur quotidien professionnel.

L’ALA a récemment publié une mise à jour de ses guides relatifs à la protection de la vie privée. Je trouve cette initiative particulièrement formidable et utile. L’ALA joue ici pleinement son rôle d’association professionnelle en abordant des notions indispensables et en aidant les professionnels à mesurer les enjeux de la protection de la vie privée. L’objectif de l’ALA est de pouvoir donner des billes aux bibliothécaires américains qui souhaitent se former. Le premier guide est consacré aux bases de la sécurité numérique. En effet, si on n’est pas sensibilisé et formé, cela semble difficile de pouvoir accompagner les usagers à reprendre le contrôle sur leurs données personnelles. Chaque guide, clair et concis, est disponible en PDF ou dans une version en ligne. Ces ressources sont diffusées sous licence Creative Commons BY-NC-ND. Aussi, j’ai pris la liberté  offerte par ces licences de faire une version française du premier guide consacré aux bases. Vous pouvez le télécharger ci-dessous. L’ALA a produit 6 autres guides (comment parler de la protection de la vie privée, intégrer la notion de vie privée dans les espaces de la bibliothèque, cycle de vie des données personnelles des usagers…). Si vous souhaitez que j’en fasse également des adaptations en français, n’hésitez pas à l’indiquer en commentaires.

Le deuxième guide : Comment parler de la vie privée est disponible ici.

Dernier article de l’année 2021 consacré à un service que j’ai découvert récemment et qui fait écho à un sujet particulièrement important à mes yeux : la confidentialité et la protection de la vie privée des usagers en bibliothèques. Il s’agit de LibraryVPN, un fournisseur de VPN pour les bibliothèques.

UN VPN pourquoi faire ?

Pour rappel, un VPN n’est pas infaillible et ne rend pas anonyme, il chiffre les données qui transitent entre votre appareil et les services en ligne que vous visitez. Dès lors, votre FAI n’a pas accès aux sites que vous visitez. Cependant, en utilisant un VPN vous décidez de confier votre navigation à la boîte qui édite le VPN que vous utilisez. Cela pose donc la question de la confiance que vous accordez à un intermédiaire. A ce propos, je vous invite à lire cet article sur l’utilité d’un VPN, contre quoi il protège et sa capacité à faire revenir l’être aimé.

Comme l’explique la page « à propos » du service, LibraryVPN est un VPN libre et open source dont le but est de permettre aux bibliothèques d’héberger un VPN pour les usagers de l’établissement. L’objectif est clairement de garantir la confidentialité des données des usagers, protéger leur droit à la vie privée et en particulier pour les publics qui ne peuvent pas s’offrir ce genre de service.

Comment ça marche ?

Les usagers de la bibliothèque téléchargent le client sur leur appareil (Windows, Mac ou Linux) et se connectent avec leur numéro de carte de bibliothèque pour faire passer leur connexion à travers le réseau privé virtuel. Ils peuvent utiliser le VPN dès qu’ils sont connectés à un wifi public ou pour se protéger des regards indiscrets de leur FAI.

Quelle confiance peut-on accorder à ce service ?

La question de la confiance dans les outils conçus pour protéger la vie privée est cruciale. La protection des données personnelles est devenu un argument commercial lucratif. En ce qui concerne LibraryVPN, on peut accorder sa confiance à l’équipe qui est en charge derrière. D’une part, le logiciel est libre et open source. Cela signifie qu’il peut être ausculté pour voir comment il fonctionne et s’il ne contient pas de porte dérobée ou un bout de code malveillant. Plus particulièrement, le service repose sur le protocole OpenVPN réputé pour sa robustesse (!= infaillible). D’autre part, le projet est actuellement conduit par l’équipe de LEAP ainsi que celles qui gèrent les systèmes d’informations des bibliothèques de Lebanon et de Wetchester. Pour rappel, la bibliothèque de Lebanon avait tué le game en hébergeant un noeud de sortie Tor. Enfin, LibraryVPN s’appuie sur la technologie utilisée par des activistes et des organisations comme Riseup qui propose des outils pour respecter la vie privée et la confidentialité des échanges de leurs utilisateurs. Autrement dit, on peut accorder une certaine confiance à ce service.

Est-ce le rôle d’une bibliothèque ?

La FAQ de LibraryVPN explique de façon limpide pourquoi les bibliothèques sont légitimes à proposer ce service.

LibraryVPN réunit deux idées qui principes qui sont largement partagés aujourd’hui dans les bibliothèques : les bibliothèques doivent s’efforcer de protéger la vie privée de leurs usagers et elles hébergent des services en ligne.

Les bibliothèques s’efforcent depuis des années à protéger la vie privée des usagers. Les bibliothèques parlent parfois de la « la liberté de lire » mais ce principe va au-delà des livres physiques. Nous tenons à ce que les gens puissent exercer leur liberté intellectuelle quand ils accèdent à de l’information, peu importe la forme qu’elle prend. Nous savons que la surveillance peut entraver la liberté intellectuelle, c’est pourquoi nous travaillons à protéger la vie privée de nos clients. Cela fait partie des valeurs de l’American Library Association

https://libraryvpn.org/faq/

LibraryVPN est une belle initiative qui mérite d’être saluée et partagée. Je ne sais pas si elle atteindra ses objectifs et parviendra à s’étendre largement aux bibliothèques américaines. Néanmoins, c’est une pierre de plus à l’édifice que les bibliothécaires américaines construisent pour être un rempart à la surveillance.

Belles fêtes de fin d’année à toutes et tous. Portez-vous bien et prenons soin les uns des autres.

Ce titre est totalement prétentieux.

Je vous propose de vivre une expérience numérique qui est à la croisée des chemins entre un escape game et l’histoire dont vous êtes le héros sous forme d’application Android. Rien que ça.

La genèse du projet

Le mois d’octobre est le mois dédié à la cybersécurité. Durant tout ce mois, à la médiathèque Louis-Aragon de Fontenay-sous-Bois, nous avons publié chaque jour sur notre page Facebook un conseil en matière d’hygiène numérique et nous publierons une synthèse sur notre blog parce que les posts sur les réseaux sociaux s’envolent mais les billets restent. Comme le cybermoi/s se termine le 31 octobre, jour d’Halloween, l’idée de faire quelque chose de terriblement effrayant tombait à point nommé. C’est donc pour conclure ce mois consacré à la cybersécurité et à la sensibilisation des menaces qui visent notre intimité numérique que j’ai conçu une petite application ludo-éducative.

N’ayant pas l’équipe R&D de Google avec moi, ne vous attendez pas à tester le futur Fortnite. J’ai réalisé l’appli grâce à App Inventor qui est un Scratch pour concevoir des applis Android. L’objectif de l’appli est surtout de faire de la sensibilisation et de la pédagogie.

Peur sur nos données : le principe

Le point de départ de l’application est simple. Vous vous retrouvez enfermés dans un data center et devrez résoudre des énigmes pour passer les étapes et retrouver la sortie. Simple. Basique.

Avec cette appli, j’ai souhaité aborder les thématiques classiques de la protection des données personnelles à travers une approche plus ludique qu’un article ou un atelier traditionnel. L’idée est de montrer concrètement ce qui peut se passer en ligne quand on utilise un mot de passe trop faible, comment l’industrie publicitaire parvient à nous pister et à collecter des données sur nous et à notre insu. Quand on dit que le smartphone est un mouchard de poche, l’application permet de mesurer à quel point on peut récupérer des données en installant un simple programme sur son appareil. 

Plutôt que de privilégier la technique, Peur sur nos données est plutôt orientée pédagogie. En effet, chaque énigme de ce mini escape game est l’occasion d’expliquer de façon claire et concise les risques et comment s’en prémunir.

Les réponses aux énigmes sont simples à deviner. Quand on les connaît. Pour les trouver, il faudra compter sur votre curiosité. Elles sont toutes donner pour peu qu’on sache les trouver. Certaines font appel à des connaissances d’hygiène numérique de base d’autres s’appuient sur un mécanisme vidéoludique et un gameplay inédits. (teasing de malade).

Pas d’omelette sans casser les oeufs

Pour pouvoir révéler à l’utilisateur des informations relatives à son adresse IP,  la configuration de son DNS, s’il utilise un VPN ou pas, l’application nécessite évidemment certaines autorisations pour fonctionner :

• Activer/désactiver la connexion Wi-Fi
• Accès complet au réseau
• Afficher les connexions réseau
• Afficher les connexions Wi-Fi
• Lire le contenu mémoire de stockage partagée
• Modifier/supprimer contenu mémoire stockage/partagée
• Accéder à la position exacte au premier plan uniquement
• Accéder à la position approximative (à l’aide des réseaux) au premier plan uniquement

Evidemment, l’application ne transmet pas de données à des tiers et les renseignements collectés par l’appli ne sont pas transmis à un serveur. Vous pouvez donc l’installer et l’essayer sans inquiétude.

L’application n’est pas disponible sur le Play Store, vous pouvez la télécharger ici et l’installer directement sur votre appareil sans passer par le magasin d’applis de Google. Vous devrez autoriser les sources inconnues pour poursuivre l’installation. Si Google Play Protect vous invite à analyser l’application, ce n’est pas nécessaire, vous pouvez passer cette étape. L’application n’est pas optimisée pour les tablettes.

Edit du 3/11: l’application est disponibile sur le Play Store

Je partage également le « code » de l’appli que vous pouvez réutiliser sur App Inventor et regarder, l’adapter, l’améliorer. C’est ouvert.

Hasard malheureux du calendrier, nous venons de célébrer le 20eme hommage aux victimes des attentats du 11 septembre et en France un mouvement de contestation du pass sanitaire s’inscrit dans la durée. Les deux éléments semblent a priori n’avoir aucun lien. Pourtant, ils sont liés par une question importante : le développement d’une société de contrôle. En effet, le 11/09 s’est traduit par le vote en 4ème vitesse du Patriot Act qui a été une véritable chape de plomb sur les libertés des américains et l’effondrement du droit à la vie privée.

A l’occasion des 20 ans, nombreux sont les articles qui retracent les ravages provoqués par cette loi en matière de vie privée. Tous les moyens ont été mis en œuvre pour lutter contre la menace terroriste. Si cette loi s’est traduite par une extension du domaine de la surveillance et d’un pouvoir accru accordé aux agences de renseignement, elle s’est manifestée également par un accroissement du contrôle y compris dans le quotidien des individus.

« Parmi les nombreuses dispositions du Patriot Act – qui vont de l’extension des pouvoirs de surveillance de la police à obligation de donner son adresse quand on achète des médicaments contre le rhume en vente libre (…) »

Le lien entre les attentats et le pass sanitaire semble un peu plus évident. Mais il y a également un autre lien qui m’intéresse, c’est la réaction des bibliothécaires US face à cette loi et la situation des bibliothèques en France face au pass sanitaire.

Que les choses soient claires, je ne suis pas favorable au pass sanitaire et je trouve que son application est profondément illogique (BU, BNF, Bpi VS bibliothèques territoriales). Comme certains collègues en lutte le dénoncent, ce pass sanitaire exclut une partie des usagers. La prochaine application du pass pour les enfants de 12 ans pose également la question du rapport à la culture de cette classe d’âge. Les plus précaires et notamment les migrants ou les SDF seront encore les plus exclus. Empêcher l’accès à la culture et à l’information interroge sur les chemins qu’emprunte une société.

Mais j’ai également pu lire que certains bibliothécaires refusaient de contrôler les usagers en dénonçant une forme de flicage. Et je ne peux qu’être d’accord avec ce raisonnement. Avec le pass sanitaire, on ne peut plus bénéficier de l’anonymat qu’offre un lieu qui est par nature ouvert à tous. Mais pourquoi sommes-nous arrivés à cette situation ? Où était la profession quand des débats houleux sur la protection de la vie privée a eu lieu en 2018 ? Je ne veux pas jeter la pierre – pas complètement – mais si aujourd’hui on contrôle l’accès à la bibliothèque, c’est parce que depuis des années on tolère voire adhère à des mesures de contrôle et de surveillance dans nos établissements. Ça dérange combien de bibliothécaires de collecter les noms et prénoms des usagers pour accéder à un ordinateur ? Quelle est la finalité de cette collecte de données ? Sur quel fondement juridique cette pratique s’appuie-t-elle ? A quel point la lutte contre le terrorisme et la prévention des actes terroristes nous a accoutumé à contrôler ce que font les usagers sur les ordinateurs ?

Si nous en sommes arrivés là, c’est parce que les digues se sont effritées au fil de ans, au grès des lois sécuritaires de circonstances votées à la hâte. Au-delà de ce grignotage régulier de notre droit à la vie privée, nous avons également accepté d’être des auxiliaires et acteurs de l’extension du domaine de la surveillance. A ce propos, je vous invite à lire le livre La société de vigilance de Vanessa Codaccioni qui analyse les mécanismes à l’œuvre depuis une vingtaine d’années qui ont fait des nous des acteurs de cette société de vigilance. Si la lutte anti-terroriste a fait de nous une menace potentielle à observer, le discours politique et les dispositions prises ont aussi fait de chaque citoyen le surveillant de l’autre. (On retrouve cette logique avec le pass sanitaire où le pouvoir de contrôle est délégué à d’autres corps non régaliens). Je ne sais pas s’il est trop tard mais une chose est certaine, c’est que notre participation au combat contre une société techno-sécuritaire est en retard. Et je pense qu’il faut s’inspirer de nos collègues américains et de leur expérience pour tenter d’agir collectivement. Mais nous pouvons aussi compter sur le fait que « nous vivons en démocratie. Nous avons le droit à liberté d’expression et celui de faire entendre nos voix ».

Je vous invite à lire ci-dessous un article dont j’ai retranscrit des passages qui revient sur la façon dont les bibliothécaires américains ont réagi face au Patriot Act. Cela permet d’interroger notre pratique et notre positionnement collectif dans ce contexte compliqué.

***

« Dans les 7 semaines qui ont suivi les attaques terroristes qui ont frappé le World Trade Center et le Pentagone en 2001, le Président Bush a signé la loi du Patriot Act et les bibliothécaires étaient sous le choc.

« Au début, je pense qu’il y a eu beaucoup de panique » déclare Wanda Mae Huffaker, bibliothécaire à Salt Lake County. « Nous étions tous inquiets que le FBI débarque et de ce qui allait se passer. Nous ne savions ni comment ni quoi faire. Nous étions tous inquiets qu’ils débarquent et réquisitionnent les ordinateurs. Et si on disait quelque chose, nous aurions été arrêtés. »

Parmi les nombreuses dispositions du Patriot Act – qui vont de l’extension des pouvoirs de surveillance de la police à obligation de donner son adresse quand on achète des médicaments contre le rhume en vente libre – il y en a deux qui ont concernées directement les bibliothèques.

L’une autorisait le FBI à accéder aux dossiers des usagers que l’agence jugeait pertinente pour vérifier quels livres ces personnes avaient empruntés ou quels sites web elles avaient consultés. La seconde impose le silence aux bibliothécaires et le risque d’être condamné à 5 ans de prison.

Le bâillon n’a pas tenu longtemps. En 2005, un groupe de bibliothécaires, connu sous le nom des Connecticut Four, a contesté la loi devant les tribunaux, et le gouvernement a abandonné en 2006 la disposition qui interdisait aux bibliothécaires de parler d’éventuelles réquisitions et des lettres de sécurité nationale (NSL).

« Nous avons toujours défendu la vie privée. C’est ce que nous avons fait », rappelle Huffaker. « Ce que les gens lisent reste privé, ce qu’ils recherchent en ligne aussi. Tout d’un coup, quelqu’un nous contraignait à renoncer à ce principe ».

Et cela n’a pas pris longtemps – quelques années d’après Huffaker, pour que les bibliothèques trouvent une solution à ce problème en modifiant leur fonctionnement pour ne plus collecter autant de données personnelles qu’auparavant.

La règle appliquée aujourd’hui est celle du « le moins, c’est le mieux » (tiens, coucou le RGPD est le principe de minimisation des données collectées, nda). « C’est inutile de collecter des tas de données dont nous n’avons pas besoin et qui pourrait compromettre la vie privée des usagers en cas de fuite de données. »

Avant le Patriot Act, une bibliothèque conservait toutes les données de prêt d’un usager mais seul ce dernier pouvait y avoir accès. Jusqu’à l’instauration du Patriot Act qui a donné cet accès au FBI également.

Désormais, à la bibliothèque d’Orem ainsi que dans beaucoup d’autres, l’établissement conserve les données de prêt d’un usager jusqu’à ce qu’un autre usager retourne le même document emprunté. (Pour remonter à l’usager précédent en cas de document endommagé ou s’il y a des pénalité de retard). Après les données sont effacées.

Quand les usagers utilisent les ordinateurs de la bibliothèque, la plupart des établissements ont un système simple: « Dès que l’usager se déconnecte, les données sont effacées ». « Le FBI peut venir et saisir les ordinateurs, les données seront effacées. Ils ne trouveront rien ». (En France, la sauvegarde des données de connexion est imposée par la loi et le Conseil d’Etat a récemment rendu une décision rappelant la conformité de cette règle de droit avec le droit européen

Un responsable des bibliothèques de Salt Lake City explique que leurs « ordinateurs effacent l’historique de recherche » et ils « ne le conservent que si l’usager donne son consentement ».

Le respect de la vie privée est essentiel pour les bibliothécaires rappelle Huffaker qui pense que ce principe devrait être important pour tout le monde.

« Il y a des personnes qui disent que ce n’est pas important. Plus personne ne s’intéresse à la vie privée. » La bibliothécaire répond « Ok, dans ce cas pourquoi avec-vous des rideaux aux fenêtres ? »

D’après une autre bibliothécaire, devenir des chevaliers de la la protection de la vie privée a amélioré la réputation des bibliothécaires en montrant une autre image de rat de bibliothèques.

Enfin, les bibliothécaires interrogés évoquent le décalage qu’il peut y avoir avec la jeune génération de professionnels qui a grandi sous le Patriot Act et l’accoutumance à la surveillance que cela a pu engendrer chez certains.Et de citer l’exemple d’une situation où la police est entrée dans la bibliothèque pour regarder les images de la vidéosurveillance et que des bibliothécaires plus jeunes leur remette sur simple demande. « Nous devons leur dire « Attends, attends. Laisse-moi te rappeler comment nous faisons avec les mandats. Ce n’est pas que je n’aime pas les forces de l’ordre mais il y a des procédures à respecter. Nous devons aussi protéger les droits ».

Source : Sltrib

La reconnaissance faciale est en train d’envahir notre quotidien. Entre les smartphones qui intègrent cette technologie pour déverrouiller l’appareil, l’accès aux services publics ou le déploiement de caméras pour observer et repérer les comportements suspects, la reconnaissance faciale nous entoure. Les bibliothèques ne sont pas épargnées et certaines utilisent cette technologie pour l’emprunt des documents.

Des sociétés qui proposent…

La reconnaissance faciale a le vent en poupe et est en train de devenir un marché particulièrement lucratif. Une étude de 2019 prévoit un « taux de croissance annuel moyen de 16% sur la période 2019-2024. »

L’identification et l’authentification à des fins de technopolice vendues dans un contexte de surenchères sécuritaires laissent aujourd’hui la place à d’autres usages. Les entreprises ont développé des technologies qui peuvent être utilisées dans différents environnements. Et pourquoi pas celui des bibliothèques ?

Une des premières entreprises que j’ai repérées qui proposent ce service est Helmes qui se présente comme un alchimiste des logiciels pour entreprises. C’est déjà tout un programme. L’entreprise a mis au point un dispositif de reconnaissance faciale pour permettre à ses salariés d’emprunter des livres. Ne jamais consommer la drogue qu’on refourgue à ses clients…

Comme on peut le voir sur la vidéo, l’employé se présente devant la caméra avec le livre qu’il souhaite emprunter. L’algorithme identifie puis authentifie la personne et le prêt est enregistré sur le compte de la personne qui doit valider la transaction avec le doigt. La première réaction qui me vient : pourquoi ne pas utiliser un automate si on doit finaliser une opération en appuyant sur un écran tactile ?

Ce dispositif est déjà en lui-même assez inquiétant mais le spécialiste en machine learning de l’entreprise est encore plus surprenant. Il regrette que la solution ne soit pas connectée à la base nationale des photos des documents administratifs parce que cela permettrait aux bibliothèques de pouvoir déployer le système de reconnaissance faciale.

If the solution were connected with the national database of document photos, it would be technically possible to start using face recognition-based lending in public libraries as well. We could do away with the library card and literally hand out books judging by the borrower’s face 

https://www.helmes.com/book-lending-based-on-face-recognition/

Puis il poursuit avec une phrase qui lui permet de décrocher le Big Brother Award 2019 (leur article a été publié en 2019). « Chaque prêt est connecté aux profils de l’employé et les mentors peuvent voir ce que les employés lisent et leur recommander d’autres lectures pour approfondir leurs connaissances. »

Thales, mastodonte des technologies, considère aussi que les bibliothèques pourraient être un lieu propice au déploiement de la reconnaissance faciale.

…aux bibliothèques qui disposent

En Chine, j’ai identifié plusieurs établissements qui permettent le prêt grâce à la reconnaissance faciale. Après tout, en Chine on peut payer chez KFC avec son visage, pourquoi ne pas emprunter des livres ?

Depuis 2017, la bibliothèque de la ville de Guangzhou fournit ce service. L’argument qui est avancé est celui de la facilité de l’opération. Ce serait plus simple de montrer sa trombine à une caméra que d’utiliser sa carte de bibliothèque. Je veux bien que les automates de prêts peuvent parfois être facétieux mais ils fonctionnent globalement correctement. L’argument de l’expérience utilisateur est souvent celui mis en avant pour dissimuler les enjeux et les conséquences de cette technologie.

L’établissement de Guangzhou qui a déployé la reconnaissance faciale est une bibliothèque jeunesse. Ce dispositif contribue – comme d’autres services en Chine – à favoriser l’acceptation et l’accoutumance à cette technologie. En tombant dans la marmite en étant jeune, c’est plus difficile d’en percevoir les risques et les menaces qu’elle peut représenter dans un autre contexte.

Au moins une autre bibliothèque en Chine propose de la reconnaissance faciale pour emprunter des documents. Mais je n’ai pas réussi à trouver plus d’informations que cette page. L’argument de la simplicité d’utilisation est ici complétée par l’argument du gain de temps.

Singapour fait également partie des villes qui disposent de la reconnaissance faciale pour gérer le prêt de documents dans ses bibliothèques. Le dispositif semble être le plus évolué de tous. Le prêt peut être effectué avec plusieurs documents en même temps (jusqu’à 5). L’usager présente son visage devant la caméra qui doit l’authentifier. Il passe un portique où il patiente le temps que l’authentification se produise. Puis les livres sont ajoutés sur son compte. Enfin le portique s’ouvre.

Les risques et les dérives de la reconnaissance faciale

Tout d’abord, les algorithmes de reconnaissance faciale n’ont pas encore démontré leur efficacité. Par ailleurs, ils sont sources de discriminations. En effet, plusieurs études ont montré que les personnes noires ou les femmes étaient moins bien identifiées et reconnues par les algorithmes.

En outre, même si leur efficacité tend à être démontrée, les algorithmes de reconnaissance faciale peuvent par leur simple présence exacerber une forme d’auto-contrôle. Par crainte d’apparaître comme un élément suspect, ces dispositifs nous poussent à nous soumettre à une norme sociale. Notre façon d’occuper l’espace public est aussi remis en question. Un simple stationnement peut être considéré comme suspect et déclencher l’intervention des forces de l’ordre.

Enfin, je vous recommande le documentaire diffusé sur Arte Tous surveillés – 7 milliards de suspects qui finira de vous convaincre des dangers que représente cette technologie.

Nous avons parfois tendance à conserver des données sur les usagers « au cas où ». Il faut bannir ce réflexe et ne collecter que des données strictement nécessaires déterminé par des finalités précises. Mai cette obligation du RGPD n’est pas toujours respectée pour le moment. Le prétexte qui est parfois utilisé est celui des statistiques. Effectivement, nous avons besoin de réaliser des stats pour évaluer la portée de nos actions ou pour remplir l’enquête annuelle du Service du Livre et de la Lecture.

Afin de limiter les risques de fuites ou de conservation injustifiée, on peut dé-identifier les données de nos usagers. En effet, on s’en moque de savoir que Mr Tartempion ou Mme Michu a participé à la rencontre d’auteur du mois dernier. On peut donc supprimer le nom de ces usagers. Je vous propose donc un petit memo pratique qui consiste à transformer des données brutes en données dé-identifiées.

Ce principe de dé-identification des données s’applique surtout pour les animations et les événements sur inscriptions organisées par la bibliothèque. Mais une fois l’événement terminé, il n’y a plus de raison de conserver les données des participants. Si on a besoin de conserver des données à des fins statistiques, on pratique la dé-identification. Par ailleurs, en cas de fuite de la base de données constituée à cette occasion, les assaillants disposeraient de peu de données utiles. Mais rappelez-vous, même anonymisées, les données peuvent permettre de ré-identifier une personne.

Je poursuis ma semaine consacrée à la vie privée en bibliothèque avec ce troisième article (le #1 et le #2). Aujourd’hui, je souhaite vous rappeler ou vous faire prendre conscience qu’on manipule beaucoup de données personnelles de nos usagers.

A partir d’une situation fictive, je vais vous montrer qu’on peut disposer d’un volume d’informations digne de la NSA. Que ce soit lors d’atelier ou d’accompagnement dans la réalisation de démarches administratives, la manipulation de données personnelles d’usagers est fréquente. Ils nous les fournissent volontiers parce qu’ils nous font confiance. Ne trahissons pas cette confiance en faisant n’importe quoi de ces données. (N’hésitez pas à agrandir l’image ci-dessous pour mieux voir).

On nous vend souvent le mythe de l’anonymisation des données personnelles. C’est juste un blanc-seing pour pouvoir utiliser nos données afin de pouvoir nous tracker dans les moindres recoins du cyberespace. En recoupant quelques données non identifiantes, on peut ré-identifier un individus. Je vous invite à tester l’Observatoire de l’anonymat pour vous en rendre compte. Il faut savoir que les datas broker, les courtiers de données, peuvent disposer jusqu’à 1500 informations différentes sur les individus.

Pour conclure, moins on collecte de données moins on s’expose à une fuite importante de données. N’utilisons que les données strictement nécessaires et assurons-nous des mesures de sécurité prises pour garantir la protection des données des usagers : intégrité, authenticité et confidentialité. Cela est également valable pour les prestataires avec lesquels nous travaillons !

Comme je l’expliquais dans cet article, à l’occasion de la privacy week portée par nos confrères américains, j’ai décidé de participer à ma façon à cet événement en publiquant pendant une semaine des articles autour de la vie privée.

Le billet du jour est un mini-quiz pour évaluer vos connaissances sur le RGPD.  Plutôt que de faire un article ennuyeux et rébarbatif, je voulais proposer quelque chose de léger parce que l’humour permet aussi de faire de la pédagogie. Alors amusez-vous ! Mais si vous avez une mauvaise note au quiz, j’appelle la CNIL !

Chaque année les bibliothécaires américains organisent un temps fort consacré à la protection de la vie privée. La privacy week est l’occasion de rappeler que les bibliothèques ont un rôle un jouer dans cette bataille pour reprendre le contrôle sur nos données personnelles. En effet, les bibliothèques font partie des lieux culturels les plus fréquentés. Cette année de Covid a renforcé cette tendance car les bibliothèques ont été les seuls lieux ouverts.

Puis, au regard de leur mission et des outils qu’elles sont amenées à utiliser, les bibliothèques ont une légitimité à accompagner les citoyens et les sensibiliser aux enjeux du numérique.

Enfin, le rôle croissant du numérique dans la société et la place de plus en plus incontournable des géants de la tech nécessitent de développer un esprit critique et de réfléchir aux conséquences sur nos libertés mais aussi sur le fonctionnement de notre démocratie. La polémique autour de Cambridge Analytica et le rôle de Facebook en sont un exemple. L’ingérence Russe dans les élections américaines, les cyberattaques diligentées par la Chine ou la Corée du Nord ont des conséquences sur la vie politique et notre futur.

Si l’on part du principe que les bibliothèques participent à la construction du citoyen et doivent aider les usagers à se forger un esprit critique, il est de notre devoir de montrer ce qu’impliquent d’utiliser les outils des GAFAM ou de leurs homologues asiatiques. On ne peut pas laisser seules ces entreprises se positionner comme les défenseurs de la vie privée. Le droit à la vie privée en ligne ne peut pas reposer sur Apple et son dispositif de blocage du tracking publicitaire ou Google et son enfumage autour de la fin des cookies tiers.

Ce combat a peut-être une portée moins grande en France. Nous n’avons pas un événement national qui met l’accent sur la protection des données personnelles portées par des associations. Il y a bien évidemment des actions qui ont été organisées comme le FDLN ou JDLN mais cela reste des initiatives portées par des individus localement. Alors même qu’une part importante de la population se déclare sensible aux questions relatives à la vie privée, les représentants des associations professionnelles n’ont pas fait de ce sujet un axe fort de leur mandat. Ce n’est pas un reproche, c’est un constat. (Je tiens à le préciser pour éviter d’être accusé comme le râleur de service).

Ce n’est pas toujours évident de défendre ces sujets dans son établissement. Défendre la vie privée et le contrôle sur nos données personnelles, c’est défendre le chiffrement ou des outils destinés à préserver notre anonymat. Dans le contexte actuel, on peut être rapidement assimilé à un terroriste potentiel ou un pédocriminel. Ce n’est évidemment pas simple en ce moment de défendre des outils qui protègent notre intimité. Pourtant, ces outils sont indispensables pour garantir une société libre et démocratique.

L’année de Covid nous a prouvé que le chiffrement ou la protection des données personnelles sont fondamentaux pour chacun d’entre nous.

Avec le télétravail, combien d’entreprises ou de services de l’administration ont déployés des VPN pour organiser le télétravail et garantir la sécurité informatique du service et l’intégrité des données échangées ? Cela ne semble choquer personne d’utiliser le chiffrement dans ce cas.

Les périodes de confinement ont été une période particulièrement faste pour le commerce en ligne. Accepterions-nous de saisir nos coordonnées bancaires sans la moindre garantie de sécurité ? Le chiffrement est la solution pour nous permettre d’utiliser nos cartes bancaires en ligne.

La crise sanitaire a entraîné le développement des applications de contact tracing qui impliquent l’utilisation de données de santé considérées comme des données sensibles. Accepterions-nous que les données relatives à notre état de santé transitent en clair entre nos téléphones et les serveurs de Tous AntiCovid ?

Pendant un moment, l’idée du vote électronique a été mis sur la table dans la perspective des prochaines élections présidentielles. Accepterions-nous d’utiliser des machines à vote qui ne garantirait pas la confidentialité du suffrage ?

Le chiffrement est définitivement indispensable. Le remettre en cause au nom de la sécurité ou au nom de la lutte contre le terrorisme est une perspective redoutable pour l’équilibre démocratique de notre société. Il ne peut pas y avoir d’un côté un chiffrement fort pour des services commerciaux et de l’autre un chiffrement faible pour les réseaux sociaux ou les messageries chiffrées. Certes, ces outils sont utilisés à des fins criminelles. Mais fragiliser des outils qui garantissent la liberté d’expression indispensable dans une société libre, c’est renoncer aux droits fondamentaux qui la soutiennent.

Comment faire en tant que bibliothécaires ?

Les statuts de la fonction publique peuvent paraître incompatibles avec ces sujets. Mais on peut y prendre part de diverses façons :

• Privilégier des outils libres comme Jitsi ou BigBlueButton pour les visios ;

• Utiliser des moteurs de recherche alternatifs à Google et les configurer par défaut sur les ordinateurs publics ;

• Privilégier les logiciels libres à installer sur ces machines ;

• Acheter et faire la médiation des documents qui traitent des questions de surveillance ;

• Animer des ateliers sur les données personnelles ;

• Montrer comment l’authentification en deux étapes fonctionne ;

• Comment créer un mot de passe et pourquoi il ne faut pas utiliser deux fois le même ;

• Réapprendre nos habitudes numériques personnelles en privilégiant des alternatives respectueuses de la vie privée ;

• Faire de la pédagogie sur ces sujets ;

• …

A l’occasion de cette semaine consacrée à la vie privée, je publierai pendant 7 jours un article pour présenter une ressource, un service ou une action qui parlticipe à la défense de a vie privée et de nos données personnelles.

Si vous souhaitez partager un outil ou une expérience, n’hésitez pas à utiliser les commentaires !

La crise du coronavirus, l’explosion du télétravail et des visioconférences ont fait ressortir le besoin d’espace pour travailler ou passer des entretiens d’embauche alors même que la plupart des lieux sont fermés en raison des restrictions sanitaires. La bibliothèque de Carthage, dans l’Etat du Texas, a peut-être trouvé la solution au problème.

La bibliothèque Sammy Brown a installé deux cabines insonorisées équipées d’ordinateur portable pour permettre aux usagers de s’isoler et de pouvoir réaliser des visioconférences sans se sentir écouter ni déranger les autres usagers de la bibliothèque.

Ce projet a été rendu possible grâce à une bourse attribuée par l’Institute for Museum and Library Services pour aider et accompagner les établissements de lecture publique à s’adapter et maintenir une activité à cause du coronavirus. Comme l’explique Kim Corner, la directrice de la bibliothèque, les usagers viennent souvent dans l’établissement pour utiliser les ordinateurs et effectuer des démarches autour de l’emploi. Evidemment, les restrictions sanitaires ont empêché les usagers de pouvoir profiter d’une large partie des services proposés par la bibliothèque. Face au besoin de pouvoir disposer d’un espace intime pour effectuer une visioconférence, les bibliothécaires ont décidé de concevoir un espace qui permette de répondre à ce besoin. Là où se distingue le projet de la bibliothèque Carthage, c’est que la mise en place de ces cabines insonorisées n’a pas nécessité de grands travaux d’aménagement. Une partie de la subvention a également été utilisée pour faire l’acquisition de deux ordinateurs portables adaptés à la visioconférence parce que les ordinateurs de la bibliothèque n’étaient pas adaptés pour cet usage. La directrice souhaite que cet espace soit pleinement investi y compris pour des réunions d’affaires ou de la téléconsultation.

Cet événement est l’occasion de rappeler que les bibliothèques sont encore aujourd’hui souvent le lieu privilégié pour disposer d’une connexion internet. Ce service est particulièrement vital en milieu rural mais aussi en milieu urbain où la plupart des lieux sont fermés. Les bibliothécaires américains ont su très tôt se saisir de cette problématique en élargissant l’accès au réseau wifi de la bibliothèque au-delà des horaires d’ouverture pendant le début de la crise sanitaire. Quand d’autres ont augmenté la bande passante afin de pouvoir satisfaire la demande ou prêter des hotspots wifi pour permettre aux usagers d’avoir accès à internet pendant le confinement. Quand il est difficile de disposer d’un espace pour s’isoler chez soi, cette idée de cabine insonorisée est une solution utile et adaptée pour de nombreuses personnes. Cela peut également être une offre proposée aux personnes qui souffrent en télétravail de ne plus pouvoir rencontrer des gens ou leurs collègues. La perspective de sortir et de se rendre à la bibliothèque pour effectuer une visioconférence dans une cabine adaptée est un moyen efficace pour ces personnes de sortir de l’isolement qu’elles peuvent ressentir.

Source : Panola Watchman

L’Association américaine des bibliothèques a adopté une résolution fin janvier contre l’utilisation de logiciel de reconnaissance faciale dans la continuité de la « Library Bill of rights » et d’autres textes portés par l’ALA qui promeuvent le respect de la vie privée des usagers des bibliothèques.

Les bibliothécaires américains soulignent que le droit et le respect de la vie privée sont indispensables pour garantir la liberté intellectuelle. Les bibliothèques doivent défendre ces valeurs et sensibiliser les publics à la protection de la vie privée mais surtout protéger les données personnelles des usagers. L’ALA rappelle que les usagers doivent pouvoir utiliser les services de la bibliothèque sans craindre une intrusion dans leur vie privée. Le risque que pourrait introduire ce genre de technologies serait de rompre la confiance des usagers et les dissuader de venir utiliser les services de la bibliothèque.

S’appuyant sur des études démontrant les dérives dont est capable la reconnaissance faciale et la menace qu’elle fait planer en sacrifiant la notion même de consentement libre et éclairé, l’ALA estime que cette technologie de contrôle crée des conditions propices à une surveillance non autorisée des usagers.

L’absence de cadre juridique au niveau fédéral, l’utilisation répandue par les autorités et le manque de transparence des logiciels protégés par des droits de propriété intellectuels justifient également le rejet de la reconnaissance faciale par les bibliothécaires américains. Quelle confiance peut-on accorder à une boîte noire qui ne permet pas de savoir comment elle fonctionne ?

Par ailleurs, cette technologie fait l’objet de biais cognitifs qui traduisent les représentations et les préjugés des développeurs derrière les algorithmes utilisés dans les logiciels de reconnaissance faciale. Cela produit des discriminations notamment à l’égard des minorités qui sont plus victimes d’erreurs d’identification. Au nom de l’antiracisme, de l’équité, de la diversité et de l’inclusion, l’ALA rejette la reconnaissance faciale.

Parce que la reconnaissance faciale porte atteinte à la vie privée des usagers mais aussi à celles des bibliothécaires qui devraient se soumettre à l’utilisation de leurs données biométriques, l’ALA s’oppose à cette technologie sécuritaire. Elle invite les professionnels mais aussi leurs partenaires à défendre cette position et sensibiliser les usagers, les élus ou encore le législateur sur les risques que fait planer la reconnaissance faciale sur la vie privée et les discriminations qu’elle produit. En l’absence d’étude qui démontrerait l’efficacité de ce dispositif panoptique, elle invite à cesser d’utiliser les logiciels de reconnaissance faciale et réclame un moratoire sur l’utilisation de logiciel de reconnaissance faciale dans les bibliothèques.

Source : ALA

Yolo Space Hacker est un jeu disponible sur Steam dans lequel vous incarnez un membre d’une équipe de hackers éthiques. Votre mission consiste à infiltrer une base pour y récupérer des données. Bien évidemment, l’accès est sécurisé et il vous faudra trouver des failles pour pouvoir ouvrir une porte, désactiver une tourelle ou pour récupérer des données. J’avais repéré ce jeu grâce à Korben mais il n’était pas encore disponible sur la plateforme Steam. Depuis la fin décembre 2020, vous pouvez vous initier au hacking éthique.

CTF, bruteforce, SQLi…

Si ces mots ne vous évoquent rien, raison de plus pour vous intéresser à Yolo Space Hacker. Vous allez pouvoir vous initier à des techniques de piratage relativement élaborées. Mais rassurez-vous, on vous explique tout ! Un des gros points forts du jeu réside dans sa pédagogie et sa capacité à vulgariser un domaine qui paraît compliqué de prime abord. En effet, réaliser des tests d’intrusion nécessite des connaissances techniques qui ne s’improvisent pas. Mais le jeu est conçu pour aborder des méthodes d’intrusion sans avoir de pré-requis et s’adresse clairement à des débutants qui s’intéressent au hacking éthique.

Le début du jeu est conçu comme un tutoriel dans lequel on vous explique comment récupérer un mot de passe en s’appuyant sur l’OSINT pour trouver des informations publiques sur une personne. Si vous n’avez aucune information sur votre cible, Yolo Space Hacker vous initie aux attaques par bruteforce. Au cours d’une des missions, vous êtes amenés à manipuler un outil pour réaliser ce genre d’attaque à l’aide d’un dictionnaire de mots de passe qui ont réellement fuité il y a quelques années. Et c’est là où le jeu réussit son tour de force, c’est qu’au-delà de la dimension ludique, il invite à repenser à son hygiène numérique. Est-ce que mes mots de passe sont suffisamment robustes ? Est-ce que j’utilise deux fois le même mot de passe ? Est-ce que je pense à changer régulièrement mes mots de passe ? Les méthodes abordées sont expliquées avant chaque mission et on les retrouve dans un Guide du hacker accessible sous la forme d’un onglet ouvert en permanence.

Serez-vous le prochain Elliott Alderson ?

Cela ne tient qu’à vous. Blague à part, je pense que Yolo Space Hacker est une bonne porte d’entrée pour découvrir un domaine sans prendre de risques. Vous ne retiendrez probablement pas toutes les techniques qui sont abordées dans le jeu mais ce n’est pas grave. Il existe d’autres ressources sur le web pour pousser les portes que vous avez commencé à entrouvrir. Vous y découvrirez une culture, un vocabulaire, des méthodes et surtout une éthique qui contraste avec l’image du vilain hacker à capuche qui sévit dans une pièce obscure. C’est selon moi le second point fort du jeu. Les développeurs ont pris le partie de l’éthique et rappellent régulièrement qu’on ne peut pas faire tout et n’importe quoi. La plupart du temps, vous pouvez être en infraction en réalisant ces tests en situation réelle. La cybercriminalité, c’est mal !

Contrairement à certains films ou reportages qui mettent en scène des hackers avec des faux outils, le jeu vous propose de manipuler des vrais outils qui peuvent provoquer de vrais dégâts. Au cours des missions, vous pouvez être amenés à utiliser un terminal et y saisir des véritables commandes pour faire correspondre le hash d’un mot de passe et le sésame que vous chercher à cracker. Si vous n’avez pas peur de mettre des informations confidentielles sur un site qui n’est pas chiffré (ou utiliser un WIFI public), vous allez vite comprendre en utilisant un proxy et en sniffant le réseau comment on peut récupérer les informations qui transitent en clair entre votre ordinateur et le serveur qui héberge le site que vous visitez. Si vous n’avez pas le courage de suivre le Mooc sur les réseaux locaux, le jeu vous permettra de comprendre globalement ce qu’est une requête HTTP.

Et les bibliothèques dans tout ça ?

Si votre établissement dispose d’un compte Steam et d’un budget consacré à l’achat de jeux vidéo dématérialisés, il me semble que ce genre de jeu se prête bien à un tournoi dans la médiathèque. En s’inspirant des CTF, issu du monde du jeu et repris à son compte par les spécialistes du secteur de la sécurité informatique, on pourrait imaginer des équipes qui s’affrontent pour hacker la base spatiale. La plus rapide a gagné ! Par ailleurs, le mois consacré à la cybersécurité apparaît comme la période idéale pour inscrire cet événement dans une temporalité qui met l’accent sur les risques de sécurité et la cybermalveillance. Et c’est l’occasion pour les bibliothèques de faire de la médiation et de sensibiliser à l’hygiène numérique.

Aujourd’hui c’est la journée européenne de la protection des données personnelles. Chaque 28 janvier l’accent est mis sur ce sujet et vous lirez beaucoup de choses sur le tracking en ligne, sur la façon de s’en prémunir et sur les nombreux outils qui existent. Parfois ce sera peut-être redondant mais la pédagogie est l’art de la répétition. Je profite de cette journée symbolique pour apporter ma pierre à l’édifice. Mais je ne parlerai pas d’outils pour protéger nos données personnelles. Je voudrais essayer de tordre le coup à certains préjugés et faire comprendre que la protection de nos données personnelles n’est pas une marotte de geeks. C’est un enjeu particulièrement crucial à l’heure où nos données de santé, nos opinions politiques ou religieuses, nos relations dépendent des technologies numériques.

Je n’ai rien à cacher

C’est la réponse la plus répandue et la plus simple quand on parle de protection de la vie privée. Cet argument sous-entend que si on cherche à protéger notre vie privée, c’est pour dissimuler un méfait ou un acte délictueux. Ce raisonnement est la conséquence de plusieurs années de matraquage sécuritaire et de tentatives fructueuses de nous faire consentir collectivement à la multiplication des lois anti-terroristes ainsi qu’à un état d’urgence permanent. Il n’est plus nécessaire de crier à l’orwellisation de la société et au développement de ses dispositifs de contrôle. Nous sommes à l’épilogue du roman 1984. Au moment où Winston Smith finit par aimer Big Brother et adhérer volontairement à cette servitude volontaire.

Or, il est faux de dire qu’on n’a rien à cacher. Edward Snowden avait sorti cette punchline « Dire que l’on se fiche du droit à la vie privée sous prétexte que l’on a rien à cacher serait comme déclarer que l’on se fiche du droit à la liberté d’expression sous prétexte que l’on a rien à dire ». Elle n’a pas pris une ride mais elle est incomplète. Nous avons tous des idées, des désirs, des fantasmes que nous ne souhaitons pas partager. Cela peut aller de la chanson coupable qu’on n’assume pas publiquement à l’opinion politique qu’on n’ose pas exprimer devant ses collègues par crainte de sanction ou de représailles. Ce ne sont pas des choses répréhensibles mais une partie de soi ou de son identité qu’on ne souhaite pas divulguer pour tout un tas de raisons qui nous regardent. Et si vous n’avez rien à cacher, pas de jardin secret à protéger, ouvrez-nous les portes de vos boîtes mails, de vos réseaux sociaux. Montrez-nous les photos qui sont stockées dans vos téléphones ou les DM que vous avez envoyés. Sans parler de contenus à caractère sexuel, vous ne souhaitez peut-être pas qu’on sache de quel sobriquet votre conjoint-e vous affuble. Et tout cela est légitime car c’est vouloir préserver votre intimité. Pour y parvenir, cela nécessite de refuser de jouer le jeu de la logique sécuritaire et des règles dangereuses qui promettent plus de sécurité au nom de la liberté.

Le chiffrement, l’arme des voyous et des pédocriminels

La cryptographie permet de chiffrer un message au moyen d’un algorithme de chiffrement. Son objectif vise à garantir la confidentialité, l’intégrité et l’authenticité d’un message. Défendre ces principes ne fait pas de vous un criminel.

Les pouvoirs publics et les représentants politiques tentent régulièrement de réduire la portée du chiffrement des moyens de communications. L’argument invoqué est de pouvoir permettre d’identifier des criminels souvent terroristes ou les échanges de contenus pédopornographiques. Bien évidemment qu’il faut lutter contre ces crimes  mais ce n’est probablement pas en déployant des portes dérobées dans les protocoles de chiffrement que les autorités mettront un terme à cette cybercriminalité. On apprend régulièrement que des plateformes de ventes d’armes, de drogues et de tout ce qui peut faire fantasmer la presse à sensation ont été démantelées. Ces espaces du fameux « dark oueb » disposent pourtant d’un niveau de protection essayer d’échapper au radar des forces de l’ordre. Malgré toutes ces dispositions, les autorités parviennent à les faire fermer. Le problème n’est donc pas le chiffrement des moyens de communications qui permettent à la grande majorité des utilisateurs de protéger leur intimité mais plutôt le manque de moyens attribués aux autorités pour pouvoir enquêter et démanteler ces réseaux. Affaiblir le chiffrement, c’est accepter que nos données de santé transitent à la merci de tous et puissent être interceptées et lues par n’importe qui. Récemment en Finlande, des cybercriminels ont voulu faire chanter des patients qui suivaient une psychothérapie. Certes aucune solution n’est infaillible mais le chiffrement des données réduit l’exposition à ce genre de menaces. Affaiblir le chiffrement, c’est accepter d’acheter des produits en ligne en risquant de se faire dérober ses informations bancaires. Affaiblir le chiffrement, c’est se rendre complice de l’espionnage industriel et de la levée du secret commercial et industriel considéré comme un principe sacro-saint  de la société capitaliste.

On mesure bien que le chiffrement est devenu central et indispensable. Souhaiter l’affaiblir dans un domaine, c’est s’exposer à diminuer son efficacité ailleurs. D’autant plus que les criminels ne manquent pas d’imagination et de ressources pour se protéger. « Des gens réellement mal intentionnés avec un peu de bagage technologique, ne seraient pas inquiétés par une telle loi. Rien n’empêche d’utiliser un chiffrement bonus sur un logiciel e2e. »

Les données biométriques

Quand on parle de données personnelles, on pense souvent aux traces qu’on laisse (in)volontairement  derrière nous sur le web ou aux informations extorquées par des conditions générales d’utilisation léonines. Mais une autre catégorie de données personnelles est de plus en plus exposée avec l’utilisation des assistants vocaux ou des dispositifs de reconnaissance d’empreintes sur les smartphones. Nos données biométriques sont de plus en plus utilisées pour pouvoir accéder à des services ou authentifier un accès. Le recours à l’empreinte digitale pour déverrouiller son téléphone est une fonctionnalité rapide et pratique qui évite l’oubli de mot de passe. Mais c’est également le revers de la médaille, on ne peut pas changer son empreinte digitale. A l’inverse, en cas de fuites ou d’attaques, le mot de passe pour accéder à un service ou à un compte peut être changé. Sans compter que le vol d’empreintes biométriques n’est pas si compliqué que cela. En effet, une photographie de vos doigts peut suffire à récupérer votre empreinte digital. Le confort des ces nouvelles fonctionnalités qu’on retrouve dans nos objets du quotidien ne doit pas nous faire oublier qu’elles comportent des risques dont les conséquences en matière d’usurpation d’identité peuvent être très dangereuses.

Avec le développement de dispositifs de contrôle comme la reconnaissance faciale, c’est l’utilisation même de notre visage que nous ne contrôlons plus. La multiplication de la vidéosurveillance, supposée lutter contre la criminalité, représente une entrave à la libre circulation puisque nos déplacements et notre attitude sont scrutés à chaque coin de rue. Mais désormais les réseaux de caméras sont couplés à des algorithmes de reconnaissance faciale. A partir de notre façon de marcher ou de notre comportement, on va essayer de déduire et anticiper nos actions. Mais comment l’algorithme peut-il traduire le stress d’arriver en retard à un entretien d’embauche ? La conséquence de cette surveillance est de chercher à se conformer à une norme sociale pour éviter d’apparaître comme un signal faible. C’est toujours l’argument sécuritaire qui justifie le déploiement de cet arsenal panoptique. En brandissant la menace d’un attentat les pouvoirs publics produisent une accoutumance aux technologies sécuritaires. La fuite en avant technologique motivée par des ambitions sécuritaires ne doit pas se faire au détriment de nos libertés, de notre vie privée et de nos données personnelles.

J’ouvre l’année 2021 avec un billet d’humeur en lien avec la polémique autour de WhatsApp et de la bascule qui est en train de s’opérer au profit de l’application Signal.

Cela fait des années que j’utilise mes petits bras musclés pour sensibiliser à la protection des données personnelles et aider les personnes qui le souhaitent à passer le cap pour apprendre à utiliser des outils qui aident à protéger notre intimité. Bien évidemment, je ne suis pas le seul et d’autres le font avec plus de force et de succès que moi. Qu’ils en soient remerciés.

Les révélations de Snowden en 2013 ont provoqué un électrochoc au sein de l’opinion public en rendant concret ce qu’on savait tous plus ou moins. Les Etats pratiquent la surveillance de leur population depuis des années. Ces révélations ont choqué  mais ne se sont pas traduites par un changement en profondeur des pratiques. Les GAFAMs ne se sont jamais aussi bien portés qu’au cours de ces dernières années, il suffit de constater le niveau de capitalisation boursière des ces entreprises. Presque 8 ans après les révélations du lanceur d’alerte, autant d’années d’actions d’associations de défense des libertés numériques, une cohorte de lois liberticides votées au grès des circonstances et du contexte terroriste, il aura fallu attendre une banale modification des Conditions Générales d’Utilisation de WhatsApp et un tweet de l’homme actuellement le plus riche du monde pour que la prise de conscience que notre vie privée est précieuse se traduise en actes.

L’application Signal apparaît dans le top des classements des applis téléchargées dans certains pays. Après avoir passé une année 2020 désastreuse en matière de protection de la vie privée reléguée à l’arrière-plan en raison du confinement, du télétravail et de l’utilisation massive d’outils de visio peu respectueux de nos données personnelles, c’est probablement la première bonne nouvelle de l’année 2021. Nous avons de quoi nous réjouir que des personnes décident de changer de crémerie. La force des GAFAMs et leur capacité à nous enfermer dans leurs prisons dorées reposent sur l’effet de réseau. Pendant très longtemps ce phénomène nous a contraint à rester dans écosystèmes toxiques dont le modèle économique est construit sur celui du capitalisme de surveillance. Tout simplement parce que notre réseau social est présent sur Facebook ou WhatsApp. Etre prêt à se déconnecter de ses proches, de ses amis et des personnes avec lesquelles on est prêt à partager d’une façon ou d’une autre notre intimité, demande une force de conviction que tout le monde n’a pas. Et c’est d’ailleurs à ce moment précis que l’argument imbécile « De toute façon, je n’ai rien à cacher » intervient et termine de convaincre une majorité de personnes de continuer à utiliser les services des GAFAMs.

Or les choses sont en train de changer depuis cette semaine. Je suis sûr que comme moi, vous avez fait l’expérience autour de vous de gens qui se sont mis à vous en parler, à vous dire qu’ils avaient installé Signal. Vous vous retrouvez désormais à discuter avec une partie de vos contacts sur cette appli. Et c’est très bien !

Mais ! Parce qu’il y a toujours un mais. Au lieu de prendre le temps de se réjouir de cette situation et d’apprécier que les efforts de sensibilisation fournis depuis des années commencent à payer, il y a des personnes qui sont malheureusement dans la critique en disant que c’est bien mais pas suffisant. Parmi les critiques, on peut retrouver :

• les maximalistes : Ceux-là critiquent le fait que les personnes utilisent désormais Signal mais continuent aussi à se servir de Google, du navigateur Chrome, de Gmail ou d’Outlook…. ;
• les juristes : l’organisation qui est derrière Signal est américaine et par extension soumise au Cloud Act ;
• les techos : Signal repose sur une architecture centralisée ;
• les techos bis : Signal nécessite de fournir son numéro de téléphone pour fonctionner ;
• les cryptos : Ok Signal intègre le chiffrement de bout-en-bout mais laisse des traces avec les métadonnées…

Evidemment qu’aucune solution n’est parfaite. Si vous tenez à protéger intégralement votre vie privée, n’utilisez aucun service connecté à Internet ! Si vous n’êtes pas prêt à vivre comme un ermite, vous pouvez déjà vous rassurer avec les éléments suivants :

• L’application Signal est gérée par une fondation à but non lucrative. Elle n’aura pas à céder à la pression des actionnaires qui chercheraient à optimiser les coûts et obtenir une rentabilité et un taux de croissance à deux chiffres;
• L’intégralité de l’application est open source et par conséquent auditable. La transparence assumée est la seule garantie qu’il n’y a pas de porte dérobée ou de cochonneries qui trahirait le message et la confiance affichés par Signal ;
• Le protocole de chiffrement utilisé par Signal est réputé pour être robuste. (Cet argument ne sera peut-être plus valable d’ici 2, 5 ou 10 ans. Si ça se trouve, la NSA ou une autre agence de renseignement a déjà identifié une faille et est en train d’exploiter cette vulnérabilité dans son coin. Mais c’est le principe d’une faille 0-day, on ne sait pas qu’elle existe tant qu’elle n’a pas été divulguée) ;
• Signal travaille à réduire les traces laissées par les métadonnées, qui sont des éléments bien plus compromettants que le contenu d’un message ;
• C’est une application qui est recommandée par Snowden, mais ça c’est pas nouveau ;-).

Comme le revendique une célèbre association, la route est longue mais la voie est libre. C’est important qu’il y ait une avant-garde éclairée qui pointe les lacunes ou les limites de tel outil mais elle doit veiller à ne pas se couper des masses qui décident de changer ses pratiques pour continuer à être audible et éviter de rester dans un entre-soi élitiste. Imaginez le degré de « disruption » que cela représente pour la plupart de passer de WhatsApp à Signal. Imaginez la force, la patience, l’énergie que ça va demander à beaucoup de gens d’expliquer à tonton Roger ou tata Suzanne comment fonctionne Signal et qui leur diront « Mais c’est pareil que l’autre, pourquoi changer ?! »

Alors oui, la situation n’est pas totalement parfaite. Mais c’est un changement mineur dont on peut se féliciter et espérer qu’il en produise d’autres. La protection de la vie privée en ligne nécessite d’apprendre à apprendre. Il va falloir abandonner des habitudes et des outils qui sont devenus notre quotidien au fil des années. Au-delà de la question des pratiques, il faut aussi se poser collectivement le coût de la vie privée. L’évolution commerciale du web nous a fait croire que les services pouvaient être gratuits et cette illusion est fortement responsable de la situation dans laquelle on se trouve actuellement. Notre intimité et notre vie privée ont un coût. Sommes-nous à prêts à le payer ?

L’ABF a récemment publié une mise à jour de son code de déontologie des bibliothécaires. En préambule, le texte prend soin de rappeler que ce code complète d’autres textes fondamentaux comme la Charte de l’Unesco sur la bibliothèque publique, le Code d’éthique de l’IFLA et bien entendu la Charte Bib’Lib créée par l’ABF il y a plusieurs années maintenant. Ces textes forment en quelque sorte le bloc de constitutionnalité des bibliothèques. Ils sont un cadre de référence et incarnent des valeurs et des positions qui fondent les principes auxquels chaque bibliothécaire est sensé adhérer et supposé défendre.

Des paroles et des actes

Ces textes sont importants en raison de leur dimension symbolique mais ne doivent pas être des coquilles vides ou des étendards qu’on brandit sans leur donner corps. L’actualité politique et sociale que nous traversons actuellement donne l’occasion de s’en saisir et de mettre en application les idées défendues dans ces textes. Or, force est de constater un silence radio générale des associations qui portent ces textes. Nous défendons collectivement l’image d’une institution que nous n’incarnons pas.

Le Code de déontologie des bibliothécaires version 2020 précise que les professionnels des bibliothèques doivent « favoriser la construction de soi et le développement de l’esprit critique » des publics. Ce principe qui positionne les bibliothèques comme un acteur participant à la construction du citoyen fait écho à la philosophie de la Charte Bib’Lib « du droit fondamental des citoyens à accéder à l’information et aux savoirs par les bibliothèques. » On revendique souvent ce rôle des bibliothèques mais pourtant quand le droit des citoyens à exercer leurs droits fondamentaux est remis en question par des projets de lois, il n’y a pas de prise de positions des associations professionnelles. On pourrait m’objecter que ce silence est justifié par la dimension politique de la contestation et que les associations professionnelles ne sont ni des syndicats ni des partis politiques. Ce à quoi je réponds que c’est un argument cache-sexe. Concevoir la bibliothèque comme un lieu qui participe à la construction du citoyen qui est armé intellectuellement pour prendre part aux débats de société et ainsi participer à la vie politique de la Cité est une conception incontestablement politique. Et par conséquent défendre la liberté d’expression, clé de voûte d’une société libre et démocratique, quand elle est attaquée est un devoir moral.

De même pourquoi les bibliothèques se sont-elles engagées dans la bataille contre les fake news ? Ce n’est pas dans le seul espoir de rendre les gens un peu moins naïfs en prenant pour argent comptant ce qu’ils voient circuler sur les réseaux sociaux. Les élections américaines de 2016, le Brexit et Cambridge Analytica ont démontré les conséquences politiques de la propagation des fake news. Certes certains illuminés propagent des infox et adhèrent à des théories loufoques mais ce n’est que la partie visible de l’iceberg. La multiplication des fake news a des implications sur la reconfiguration de l’échiquier politique. La participation des bibliothèques à des programmes d’Education aux médias (EMI) et à la lutte contre les fake news s’inscrit dans un processus éminemment politique.

La triste proposition de loi Sécurité Globale suscite une levée de boucliers de la part des journalistes, des avocats, des associations de défense des libertés individuelles et des droits de l’homme. Pendant que cette loi est sous le feu des projecteurs, Next Inpact a révélé que le Ministère de l’Intérieur a publié trois décrets en catimini qui consistent à étendre les possibilités de fichage des individus en raison de leurs opinions politiques ou religieuses.

Parmi les multiples nouveautés, les services pourront recueillir des informations sur l’opinion des personnes surveillées, leurs pseudos Twitter, des données de santé, le tout pour des finalités élargies qui dépassent la sécurité publique. (…) Pourront être fichées les personnes pouvant porter atteinte à la sûreté de l’État, du territoire ou des institutions de la République. Des notions vagues

https://www.nextinpact.com/article/44931/linterieur-muscle-possibilites-fichage-politique

On assiste ici à une dangereuse dérive sécuritaire qui porte atteinte à la liberté d’expression dans la mesure où le périmètre d’action des autorités est suffisamment large et ce qui est considéré comme une « atteinte à la surêté de l’Etat, du territoire ou des institutions » suffisamment vague pour qu’une critique répétée du gouvernement sur les réseaux sociaux puisse faire l’objet d’une fiche. Le débat est la locomotive d’une société démocratique. Il lui permet d’évoluer et de progresser. Pour débattre, pour s’interroger, pour construire son jugement, il faut pouvoir se documenter, accéder à l’information, à différents courants d’idées. Ce sont les bibliothèques qui incarnent peut-être le mieux cette idée. Si on considère que la bibliothèque participe à la construction du libre arbitre des individus en fournissant un accès à des services et des collections mais que leur capacité à exprimer leur pensée est limitée, alors la dénonciation de ces mesures sécuritaires est impérative.

De même, l’article 25 du projet de loi Sécurité globale cité précédemment constitue une ligne rouge que les associations professionnelles semblent ne pas vouloir remettre en cause. Ce dernier prévoit l’autorisation pour les policiers de porter leurs armes en dehors de leur service et de pouvoir accéder à des établissements recevant du public (ERP). Bien évidemment, cet article est né dans le contexte post attentats de 2015 en référence à la tuerie survenue au Bataclan. Certains ont regretté que des policiers étaient présents ce soir-là mais n’étaient pas armés. Comme si cela aurait pu empêcher les assaillants de commettre leur barbarie.

 Art. L. 315‑3. – Le fait pour un fonctionnaire de la police nationale ou un militaire de la gendarmerie nationale de porter son arme hors service dans des conditions définies par décret en Conseil d’État ne peut lui être opposé lors de l’accès à un établissement recevant du public.

http://www.assemblee-nationale.fr/dyn/15/textes/l15t0504_texte-adopte-seance#tocUniqueId47

Doit-on accepter cette militarisation de l’espace public au nom de notre sécurité ? Même les Etats-Unis, pourtant peu connus pour être intolérants aux armes, disposent de quelques gardes-fous. Les mesures prises dans le cadre de la lutte contre le terrorisme doivent-elles nous faire accepter tout et n’importe quoi ? Sommes-nous prêts à nous accoutumer à la présence armée dans nos établissements comme nous nous sommes habitués à la présence militaire dans l’espace public depuis l’instauration quasi permanente du plan Vigipirate ou comme nous nous sommes habitués à la présence de caméras et bientôt de la reconnaissance faciale ? Ou au contraire, nous nous décidons de faire le choix de la culture et de l’éducation et de les utiliser comme des armes bien plus efficaces pour faire reculer l’obscurantisme et réduire au silence la menace terroriste.

Le chiffrement remis en question

Toujours au nom de la sécurité et de la lutte contre le terrorisme, le chiffrement des communications est régulièrement attaqué par les pouvoirs publics nationaux ou extra-nationaux. Récemment, c’est la Commission européenne qui semble vouloir s’en prendre aux protocoles qui permettent de garantir l’authenticité, l’intégrité et la confidentialité des données. La Commission souhaiterait déployer des portes dérobées (backdoor) afin de récupérer les messages qui permettrait d’identifier une menace terroriste ou pédopornographique. En effet, des applications comme Telegram sont souvent pointées du doigt comme étant un lieu de rencontre de terroristes qui discutent et planifient des attentats à travers des boucles de discussions. Accepter ces propositions, c’est accepter de réduire le droit à l’intimité de chacun d’entre nous en renonçant à une partie de notre vie privée. Avoir des choses à cacher, ce n’est pas être criminel, c’est vouloir disposer et protéger son intimité. En outre, la multiplication des mesures de surveillance mises en place par les différents gouvernements en Europe ou aux Etats-Unis ne sont pas une réponse adaptée à la menace terroriste :

Nous sommes convaincus que dans ce type d’affaires seul le travail d’enquête de la police porte ses fruits. A titre d’exemples rappelons que ce sont de longues investigations de la police qui ont permis de démanteler en 2019 le site Welcome to Video de pédophilie abrité sur le dark web et que la NSA n’a jamais pu anticiper un attentat malgré les interceptions de conversations sur le web suite au 11 septembre 2001. 

https://www.zdnet.fr/actualites/la-ce-veut-bannir-le-chiffrement-de-bout-en-bout-pour-lutter-contre-la-pedopornographie-une-mauvaise-idee-39914123.htm

Garantir le droit au respect de la vie privée et à la protection des données personnelles sont deux axes défendus par les bibliothécaires qu’on retrouve dans les textes cités plus haut. Les tentatives politiques qui visent à neutraliser le chiffrement de bout-en-bout (E2EE) devraient provoquer une réaction des professionnels des bibliothèques. Ces remises en question des remparts de la vie privée peuvent apparaître comme des sujets techniques. Or, elles ont de véritables incidences sur la protection de la vie privée et le droit à disposer de son intimité. Accepter ces reculs aujourd’hui, c’est prendre le risque de devoir subir d’autres régressions à venir.

La route est malheureusement longue car ces principes sont méconnus par une partie de la profession ou des institutions qui la représentent. Pire que la méconnaissance, ces questions peuvent faire preuve d’une interprétation malhonnête et trompeuse.

Dans ce livre publié par l’Enssib, l’auteure établit une cartographie d’internet en prenant l’image des continents et des couleurs. Évidemment le continent noir est celui consacré au dark web et à la flibusterie sous toutes ses formes.

« Le noir connote le mystère et le secret, voire le mal ou la mort. Il est connecté au cryptage(sic) et au chiffrement ainsi qu’à l’anonymat et l’information y est considéré comme relevant du secret et du pouvoir. »

https://books.openedition.org/pressesenssib/10963

D’une part, la « couche de contenus » du continent bleu, celui réservé à la sphère commerciale d’après l’auteure, repose sur des protocoles de chiffrement. Et d’autre part, « le mal ou la mort » ont toute leur place dans ce continent paradisiaque et notamment sur les réseaux sociaux où se mélange cyber-harcèlement et diffusion de vidéos de suicides et d’assassinats… Il n’y a pas besoin d’aller dans les tréfonds du dark web pour accéder aux côtés sombres de l’humanité. Outre les commentaires pertinents de Chloé Lailic sur ce chapitre, je rajouterai également que l’analyse de l’auteure contribue à faire croire que le chiffrement est réservé aux criminels qui vendent des armes ou de la drogue sur le dark web. C’est à la fois désagréable et regrettable de lire cela dans un ouvrage publié par une institution qui forme les bibliothécaires.

Pour conclure, je terminerai en citant un texte de Jason Griffey qui me semble particulièrement adaptés à ce que j’ai essayé de défendre dans ce billet :

Les bibliothèques — par leur position dans la communauté, leurs valeurs et leur longue expérience dans leur mission qui et de rendre l’information aisément accessible tout en protégeant les intérêts des utilisateurs — ont une position privilégiée pour nous guider sur le chemin de la re-décentralisation d’Internet. Les bibliothèques et les bibliothécaires ne peuvent pas se permettre de laisser passer cette occasion de nous emmener vers la prochaine étape. Ils doivent s’en emparer.

https://framablog.org/2016/04/02/les-bibliotheques-decentralisation-du-web/

L’été est propice à la découverte, à des tests ou à des choses que je n’ai pas le temps de faire le reste de l’année. Entre deux vagues de chaleur et un changement de masque pour se protéger du Covid, j’ai souhaité comprendre et voir comment fonctionnait l’application qu’on allait bientôt fournir aux usagers de la médiathèque dans laquelle je travaille. Attaché au respect de leur vie privée et à la protection de leurs données personnelles, je me suis dit qu’une appli peut être un véritable piège dans ce domaine.  Cette idée m’est venue après la lecture du blog Pixel de tracking que je vous invite à lire si vous vous intéressez à la problématique du tracking et des données personnelles.

Télécharger l’appli

L’application Ma Bibli est disponible pour iOS et Android. C’est cette dernière version que j’ai testée. Premier réflexe, lire les autorisations que l’appli demande disponibles sur le Play Store. L’appli dispose des autorisations suivantes :

Mobile

• read phone status and identity

Lieu

• approximate location (network-based)
• precise location (GPS and network-based)

Caméra

• take pictures and videos

Stockage

• read the contents of your USB storage
• modify or delete the contents of your USB storage

Micro

• record audio

ID de l’appareil et informations relatives aux appels

• read phone status and identity

Photos/Contenus multimédias/Fichiers

• read the contents of your USB storage
• modify or delete the contents of your USB storage

Qu’en dit Exodus Privacy ?

Les pisteurs repérés par Exodus Privacy sont Google Firebase et Google AdMob. Un petit tour sur le site de ce dernier a de quoi soulever quelques interrogations :

Vous consacrez beaucoup d’énergie à vos applis. AdMob vous permet de les monétiser facilement grâce à des annonces diffusées dans l’application, des informations clés exploitables, et des outils performants et faciles à utiliser qui les améliorent.

https://admob.google.com/intl/fr/home/

Regardons sous le capot avec Charles Proxy

Charles Proxy est un outil qui permet d’analyser le trafic HTTP et HTTPS entre un appareil et Internet. Cela inclut également les requêtes, les réponses et les en-têtes HTTP.

Afin de limiter les risques de sécurité les applications intègrent de plus en plus des dispositifs pour éviter que des attaquants ne captent le trafic et ne parviennent à exploiter des failles de sécurité sur les serveurs contactés par l’application. Un de ces dispositif est le SSL spinning.

Le principe est le suivant : l’application n’accepte de se connecter et d’échanger qu’au serveur ayant un certificat spécifique

https://blog.bssi.fr/comment-contourner-le-ssl-pinning-avec-un-telephone-non-roote/

N’ayant pas voulu contourner cette mesure dans le cadre de mon test, les observations que je peux faire sur Ma Bibli sont donc à relativiser car elles ne traduisent pas une analyse profonde et exhaustive de l’appli. Toutefois, on peut reconnaître le soin pris par le prestataire pour protéger l’appli.

Au lancement de l’application Ma Bibli, plusieurs communications avec des services tiers s’exécutent. L’appli sollicite des services de Google et évidemment ceux du prestataire :

• Maps.googleapis.com > permet de géolocaliser l’utilisateur et de lui indiquer une liste de bibliothèques disponibles en fonction de sa position géographique.
• L’appli communique avec les serveurs du prestataire où sont stockés les contenus de l’appli. (C’est ce qui apparaît barré. J’ai volontairement caché les urls qui renvoient vers les serveurs du prestataire.)
• Il y une requête qui est effectuée vers https://stats.g.doubleclick.net. « DoubleClick est une régie publicitaire, spécialisée dans le ciblage comportemental sur Internet » (Wikipédia). Je ne m’explique pas la présence de ce service sachant que Google Analytics est déjà présent.

• J’ai également identifié une requête vers https://people-pa.googleapis.com que je ne connais pas. En lisant la documentation consacrée à cette API fournie par Google, j’en déduis que c’est une API qui permet d’accéder à la liste des contacts une fois qu’un utilisateur authentifié à donner son accord.

En se connectant à son compte adhérent

Une fois qu’on s’authentifie sur l’appli en saisissant son login et son mot de passe, des requêtes sont exécutées mais qui sont tout à fait légitimes. Il s’agit d’une requête vers le SIGB, comme quand un usager se connecte à son compte depuis le site de la bibliothèque. Une autre est effectuée vers l’outil d’analyse de l’audience de l’appli. Il s’agit en l’occurrence de Google Analytics. Enfin, une autre requête est exécutée vers une autre API de Google intitulée Safe Browsing Api https://developers.google.com/safe-browsing/v4/ Cette API est fournie pour se prémunir contre le phishing ou les malwares.

Puisque l’appli mobile est une reproduction du site web, on retrouve aussi des requêtes vers des services nécessaires à la fourniture des couvertures des documents. Dans le cadre de mon test, j’ai donc constaté une requête vers une API mise à disposition par les fournisseurs ORB, GAM Annecy, Amazon. ou encore CVS. Cependant, j’ai repéré une requête vers images.amazon.com que je n’arrive pas à expliquer. En analysant plus en détails, je constate qu’il s’agit d’une image d’un pixel (1×1) communément appelé pixel espion.

Un pixel espion (aussi appelé pixel 1×1 ou balise pixel, en anglais tracking pixel) est un graphique mesurant 1x1px. Ce graphique est téléchargé pendant qu’un utilisateur visite un site Web ou ouvre un e-mail. Il est utilisé pour suivre les activités d’un utilisateur sur le Web. Un pixel espion peut aussi être utilisé par les annonceurs pour acquérir des données statistiques pour le marketing digital, l’analyse web ou le marketing e-mail. Ces informations peuvent être aussi utilisées à des fins plus spécifiques notamment via l’analyse des logfiles ou encore à pour des actions de retargeting.

https://fr.ryte.com/wiki/Pixel_espion

Pour conclure, les conditions générales d’utilisation de l’application sont fidèles à ce qu’elles déclarent. Il n’y a pas d’usages illégitimes effectués par l’application. J’ai toutefois une réserve sur la présence d’une requête vers stats.g.doubleclick.net. Pour pouvoir en savoir plus et connaître précisément le contenu de la requête, il faudrait procéder à de la rétro-ingénierie pour décompiler l’application et voir ce qu’elle a sous le capot. L’application n’étant pas open source, la licence n’autorise certainement pas ce procédé. Enfin, Exodus Privacy recense deux traqueurs : Google Firebase (matérialisé par la requête app-measurement.com dans la capture d’écran) et ADMob, cependant je n’ai pas vu de requêtes confirmant la présence de ce dernier.

Le site Choose Privacy Every Day animé par des bibliothécaires américains a récemment publié un billet VIRTUAL PROGRAMMING AND PATRON PRIVACY. Cet article invite les bibliothécaires à se poser les bonnes questions avant de proposer des services en ligne aux usagers. Au cours du confinement, nous avons recommandé beaucoup de contenus en ligne à nos usagers. Mais avons-nous pris suffisamment au sérieux la question de l’utilisation de leurs données personnelles ? J’ai publié un thread sur Twitter que je partage ici en guise d’archivage. En effet, l’espérance de vie d’un tweet est relativement courte.

Le Secrétaire d’Etat au numérique Cédric O a publié ce week-end un article sur la plateforme Medium dans lequel il revient sur l’application StopCovid et ses prétendus bénéfices. Mensonger et contradictoire, son texte n’est qu’une manoeuvre supplémentaire qui vise à favoriser l’acceptabilité sociale de cette application de contact tracing.

Opérationnelle ou pas ?

Alors qu’Olivier Véran, le ministre de la Santé, a annoncé, suite au conseil des ministres extraordinaire qui s’est réuni vendredi 1er Mai, que l’application StopCovid ne sera pas disponible

« Au 11 mai, non, il n’y aura pas d’application StopCovid disponible dans notre pays et le premier ministre a été très clair, : si ce type d’application devait voir le jour, il y aurait un débat spécifique au Parlement, rien n’a changé de ce point de vue là.« 

https://www.lemonde.fr/politique/article/2020/05/02/quarantaine-stopcovid-abandonne-verbalisations-les-precisions-du-gouvernement-sur-l-apres-11-mai_6038464_823448.html

Cédric O n’a pas dû être informé de cette décision car dans son article il explique que l’application StopCovid sera disponible et testée dans le semaine du 11 mai :

« celle-ci devrait pouvoir entrer en test en conditions réelles la semaine du 11 mai »

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

60% de la population et moi, et moi, et moi

Jusqu’à la présentation du plan de déconfinement présenté le 28 avril par le Premier Ministre, on nous répétait à longueur d’interviews et d’articles que pour fonctionner, StopCovid devait être installée par au moins 60% de la population.

« Pour que l’application soit utile, mieux vaut qu’elle soit installée par beaucoup de monde, pointe également l’étude de Science. « Nous estimons que près de 60% de la population aurait besoin d’utiliser l’application pour qu’elle ait un impact significatif », détaille à franceinfo Christophe Fraser, co-auteur de l’étude. »

https://www.francetvinfo.fr/sante/maladie/coronavirus/application-stopcovid-ce-que-les-dispositifs-de-surveillance-mis-en-place-a-l-etranger-nous-apprennent-sur-le-projet-francais_3907579.html

Très bon gymnaste, Cédric 0 effectue une pirouette et nous explique aujourd’hui que l’application n’a pas besoin d’être installée par une partie significative de la population pour fonctionner. Seuls quelques pourcents de la population suffisent à pouvoir limiter la propagation du virus.

« de telles application trouvent leur utilité dès les premiers pourcents de diffusions, notamment au sein des ville »

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

L’art de la culpabilité

Cédric O a passé le mois d’avril a expliqué que cette application reposait sur le volontariat et qu’il n’y aurait aucune obligation à installer cette application :

« L’application ne serait utilisée que sur la base du volontariat et pourra être « désinstallée à tout moment », assure Cédric O. »

https://www.nouvelobs.com/societe/20200408.OBS27244/stopcovid-a-quoi-pourrait-ressembler-l-application-de-tracking-du-gouvernement.html

Pourtant, une forte pression sociale s’exerce pour inciter la population à installer l’application sur leur téléphone. Plus qu’une pression, Cédric O pratique même l’art de la culpabilité et du chantage en expliquant qu’il n’y a que deux possibilités :

« Le choix est donc très simple : tant que l’immunité collective n’est pas atteinte (ce qui est un horizon lointain), l’alternative se résume ainsi :

1. Tout faire pour couper les « départs de feu » le plus rapidement possible, y compris en utilisant des outils numériques comme StopCovid, dans des conditions très encadrées et proportionnées (et dans un contexte où l’ensemble des pays européens prévoient de déployer de tels outils) ;

2. Refuser ces outils pour des raisons philosophiques, mais dans ce cas accepter un risque significatif de malades et de morts supplémentaires.

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

Le Secrétaire d’Etat au numérique explique noir sur blanc que si vous refusez d’installer cette application pour des raisons philosophiques, vous aurez des morts sur votre conscience. Cette culpabilité et cette tentative d’exercer une pression morale pour contraindre les individus à installer cette application contrevient au principe même d’un consentement libre et éclairé qui était au coeur de la discussion jusqu’à présent. 

Et de rajouter plus loin :

« Le projet StopCovid n’a rien d’obligatoire : il repose sur une installation volontaire, librement consentie. J’ai eu l’occasion, lors d’une interview récente au JDD, de rappeler que, par exemple, un employeur obligeant ses salariés à installer l’application pourrait être passible de poursuite pénales. »

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

Et un ministre d’Etat qui culpabilise la population qui refuse d’installer cette application pour des raisons philosophiques, dans quelle catégorie cela rentre-t-il ?

Enfin, quand il explique plus loin que « Ces périodes de crise, nous le savons, sont toujours des périodes de danger pour les libertés publiques« , il est parfaitement légitime de vouloir refuser pour des raisons philosophiques des mesures de contrôle.

Tracing ou tracking

Cédric O se défend de faire la promotion d’une application de tracking ou de surveillance. Il va  même jusqu’à dire que :

« L’application ne demande absolument aucune donnée personnelle à l’utilisateur : ni le nom, ni l’adresse, ni même le numéro de téléphone mobile. « 

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

Les promesses n’engagent que ceux qui y croient. Tant qu’aucun accès au code source de l’application ne sera garantie, StopCovid sera une boîte noire opaque qui empêchera de vérifier si les propos du Secrétaire d’Etat sont vrais ou pas. En outre, plusieurs éléments nous permettent d’en douter. Orange développe de son côté une application de contact tracing qui sème une confusion. Est-ce une initiative privée ou bien pour le compte de l’Etat ?

1/ Alors que personne n'a rien demandé, Stéphane Richard a annoncé la semaine dernière avoir développé une application de contact tracing avec cinq autres industriels français.

Aujourd'hui, aucun détail de cette app n'est public. Ils ne donnent pas d'infos? Allons en chercher! pic.twitter.com/XizTWct4AE

— Elliot Alderson (@fs0c131y) April 23, 2020

D’après les quelques éléments dont on dispose, tout porte à croire que StopCovid aura accès à des données personnelles de l’utilisateur. En effet, comme le démontre @fs0c131y dans ce thread, votre téléphone est associé à un identifiant :

Enfin, le Secrétaire d’Etat ajoute une que cette appli n’est pas un « un blanc-seing donné au gouvernement — ni du reste à aucun acteur privé ni public. » Pour nous rassurer et montrer que des gardes-fous sont mis en place pour préserver nos libertés, il n’hésite pas à invoquer les avis du CNnum ou la CNIL qui ont donné leur feu vert. 

« En un mot, StopCovid apporte autant de garanties que possible afin de protéger la liberté et la vie privée. C’est cette analyse qui a conduit la Commission Nationale Informatique et Libertés, son équivalent européen et le Conseil National du Numérique, dans la situation exceptionnelle que nous vivons, à estimer son usage proportionné tout en demandant des garanties. »

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

Malgré quelques réserves, ces organismes ont effectivement donné leur accord. Mais Cédric O oublie d’évoquer dans sa tribune la Direction Interministérielle du Numérique (DINUM) qui a été écartée du pilotage de l’application StopCovid à cause des critiques qu’elle a formulées sur le choix d’un protocole centralisé et sur les risques de voir des acteurs privés (Orange, Capgemini, Thalès…) développer des applications de contact tracing « sans pouvoir accéder au code ».

« Architecture de l’oppression »

Cédric O cherche à nous rassurer en expliquant que cette appli n’est pas l’occasion pour l’Etat de faire entrer le loup dans la bergerie :

« Le projet StopCovid n’est pas un pied dans la porte. Tout y est temporaire : les données sont effacées au bout de quelques jours et l’application elle-même n’a pas vocation à être utilisée au-delà de la période épidémique. »

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

Comme cela a déjà été rappelé au cours du confinement, on assiste à une fuite en avant technologique sécuritaire. Les Etats se sont emparés de dispositifs de contrôle pour tenter de réduire la propagation du virus. Israël a fait le choix d’utiliser sur l’ensemble de sa population des moyens de surveillance destinés à la lutte contre le terrorisme. Fort heureusement, le pays est revenu sur sa décision. A Hong-Kong, le gouvernement a fait le choix de recourir à des bracelets électroniques. Autrement dit, les autorités ont fait le choix d’utiliser des méthodes réservées à l’univers carcéral et appliqués généralement aux personnes en libertés conditionnelles ou sous contrôle judiciare. 

Quand Cédric O explique que ce n’est pas un pied dans la porte, il est légitime de douter de sa parole. Est-ce que la police va arrêter d’utiliser des drones quand la situation sera redevenue à la normale ? Est-ce qu’on va limiter le recours à la vidéosurveillance couplée à de la reconnaissance faciale pour essayer de repérer les individus qui présentent des comportements suspects ? A-t-on la moindre idée de la durée de vie du virus ? Comme l’a expliqué justement Edward Snowden, on peut largement en douter :

« Croyez-vous vrai­ment que lorsque la première vague, la deuxième vague, la 16e vague du coro­na­vi­rus seront depuis long­temps oubliées, ces moyens mis en œuvre ne seront pas conser­vés ? Que les données récol­tées ne seront pas conser­vées ? Quelle que soit la façon dont elles sont utili­sées aujourd’­hui, ce qui est construit en ce moment, c’est l’ar­chi­tec­ture de l’op­pres­sion. »

https://www.presse-citron.net/coronavirus-pour-edward-snowden-les-nouveaux-outils-de-surveillance-pourraient-devenir-permanents/

Europe, j’écris ton nom

Pour favoriser l’acceptabilité sociale de StopCovid, Cédric O souhaite mettre en avant l’universalité de cette mesure en invoquant l’Europe :

« Le projet d’application StopCovid est un projet européen, travaillé en coordination avec nos homologues allemands, belges, britanniques, espagnols, italiens… et bien sûr la Commission européenne, dont le travail de coordination est extrêmement précieux. »

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

Si effectivement plusieurs payas européens se sont associés pour développer un protocole commun, très rapidement des désaccords se sont exprimés. Il y a pour le moment deux camps : les partisans d’un protocole centralisé défendu notamment par la France, l’Italie et puis les défenseurs d’un protocole décentralisé comme l’Allemagne ou la Suisse. L’Allemagne était même favorable à un protocole centralisé avant de faire volte-face et de s’orienter vers le développement d’une application dont le protocole s’appuie sur une décentralisation. La Belgique a, quant à elle, renoncé à recourir à ce genre de dispositifs et privilégie les moyens humains pour lutter contre l’épidémie. 

Distiller l’accoutumance aux menottes numériques

Pour être sûr que le lecteur soit convaincu de l’intérêt et de la nécessité d’utiliser l’application StopCovid, Cédric O n’hésite pas à dire que « les tests, les masques et les gestes barrières sont indispensables mais qu’ils ne suffisent pas ». Et d’invoquer la parole scientifique en s’appuyant sur une tribune d’une soixantaine de chercheurs parue dans Le Monde qui explique que le traçage numérique est indispensable pour combattre l’épidémie. Avec cet argument d’autorité, il vise à nous infantiliser et nous placer dans une position où nous devons écouter le personnel scientifique dont l’autorité ne peut être contestée. Il y a aussi un neurobiologiste qui a fait la promotion de la nicotine comme rempart au coronavirus et dont on sait qu’il a déjà été financé par l’industrie du tabac. L’arguement scientifique est donc à géométrie variable.

Il poursuit sa propagande en invoquant d’autres figures d’autorité comme le Conseil Scientifique, le Comité Nationale d’Ethique du numérique ou encore l’Académie de Médecine :

Curieusement, il oublie de citer l’avis du Conseil de l’Europe sur les applications de traçage qui est pourtant explicite et sans ambiguïté.

Malheureusement, le discours dystopique de Cédric O ne s’arrête pas et prend soin de prendre en compte une critique qui a été adressée aux applications de contact tracing : comment faire pour les personnes qui n’ont pas de smartphone ou qui ne sont pas dans la capacité de télécharger une application ou activer le Bluetooth. La réponse du Secrétaire d’Etat au numérique est simple et orwelienne :

Pour ceux ne possédant pas de smartphone, une partie de l’équipe est dédié à essayer de trouver une autre solution — par exemple, un boitier ou un bracelet qui permettraient de se passer des téléphones.

https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

Mais rassurons-nous, ce n’est pas la technique du pied dans la porte. A quand la généralisation du bracelet électronique pour empêcher d’accéder à une manifestation, un rassemblement de soutien ou toute action indispensable à la vie démocratique d’un pays ?

La tribune de Cédric O est à mon sens un mauvais coup de communication visant à essayer de sauver les meubles tout en présentant StopCovid comme un rouage essentiel de la machine de guerre que l’Etat doit déployer pour lutter contre le Covid-19. Nous ne savons pas encore quelle sera l’issue définitive de cette application. Mais ce qui est sûr, c’est que nous n’avons pas fini de parler de mesures de contrôle et de dispositifs de fichage pour gérer l’épidémie. L’acte II de l’état d’urgence sanitaire débute prochainement et la menace sur les libertés plane toujours. 

Un mois qu’on entend parler de l’application de contact tracing StopCovid. Un mois qu’on essaye de comprendre comment va fonctionner cette application et savoir si elle sera obligatoire ou pas. Un mois que partisans du projet et défenseurs des libertés numériques débattent et défendent leur point de vue à coup de tribunes et articles interposés. Un mois qu’on attend de savoir à quelle sauce on va être mangé et si l’application StopCovid fera partie du plan de déconfinement. La réponse est tombée cet après-midi dans l’hémicycle : l’application n’est pas prête.

Depuis le début du confinement, j’alimente un thread sur le coronavirus et les moyens technologiques mis en oeuvre par les Etats pour y faire face.

Intéressant article qui montre que les Palantir, Clearview AI et autres GAFAM mettent leurs technologies de surveillance au profit de la lutte contre l’épidémie de #COVID19 ac des risques en matière de vie privée et pr les libertés.#privacy #surveillancehttps://t.co/XEdimhTfGk

— Fourmeux Thomas (@fourmeux) March 18, 2020

Si on s’intéresse un peu à la question des données personnelles et à la vie privée cela a de quoi donner le vertige. Plutôt que d’écrire un énième article sur les dispositifs de surveillance qui ont déjà été très bien analysés par d’autres, je me suis prêté à un jeu différent. A partir de tout ce matériau, j’ai écrit une nouvelle qui s’inspire de la réalité mais qui s’inscrit dans un univers dystopique. Cette nouvelle est une histoire dont vous êtes le héros. Ce sera à vous de choisir ! Chaque lien que vous découvrirez dans l’histoire est cliquable. Ma veille m’a permis de documenter cette nouvelle et de la sourcer. N’hésitez pas à cliquer dessus pour en savoir plus. J’ai réalisé cette histoire avec le logiciel Twine qui permet d’écrire des histoires interactives. Vous pouvez décider d’emprunter une voie de l’histoire mais vous pouvez revenir en arrière à tout moment en cliquant sur les flèches situées sur la gauche du récit. L’histoire comporte différents arcs narratifs, vous pourrez passer à côté de certains éléments en fonction de vos choix. Si jamais vous souhaitez découvrir une fin alternative, vous n’avez qu’à choisir une autre possibilité disponible. 

Pour découvrir, StopCovid : l’histoire dont vous êtes la victime, c’est par ici ! Toute ressemblance avec des personnages réels, des faits ou des situations n’est ni fortuite ni involontaire.

Le confinement dû à la crise sanitaire que nous traversons actuellement rend difficile la protection de la vie privée en ligne pour la majorité des confinés.

La vie privée, victime collatérale du Covid-19

La lutte contre la propagation du coronavirus se traduit par un éventail de mesures qui portent plus ou moins leur fruit jusqu’à présent. Mais une chose est sûre, nos libertés individuelles et notre vie privée ont fait les frais de cette épidémie. Depuis le début du confinement, j’alimente un thread sur Twitter dans lequel j’épingle les articles de presse qui abordent la question des outils numériques utilisés contre la propagation du virus.

La série d’articles consacrés à l’utilisation des moyens de surveillance et cette fuite en avant technologique sont le témoin que notre vie privée sera une des victimes supplémentaires du coronavirus. Le recours à la reconnaissance faciale, la géolocalisation, les drones ou des applis de contrôle du confinement risquent de nous habituer à ces outils et nous faire accepter que les pouvoirs publics y recourent en dehors de la lutte contre le terrorisme une fois que la situation sera revenue à la normale. Nous nous conformons progressivement aux exigences sociales induites par ces technologies.

Le télétravail, un poison pour nos données personnelles

Avec le confinement, celles et ceux qui en ont la possibilité ont recours au télétravail. Certaines professions s’y prêtent plus que d’autres. Pour les bibliothécaires, le confinement nous a contraint à nous mettre au télétravail dans des conditions difficiles. Nous n’avons pas la culture du travail à distance et le confinement aggrave la fracture numérique qui peut exister dans les équipes. Certains collègues, peu à l’aise avec le numérique, se retrouvent seuls à devoir utiliser des outils qu’ils ne connaissent pas ou mal. Les plus motivés d’entre-eux essaieront peut-être de trouver par eux-mêmes ou solliciter l’aide de leurs collègues. Mais une autre partie abandonnera face à cette situation d’échec pour laquelle ils n’ont pas été préparés.

Pour limiter les dégâts, en ce qui concerne mon expérience, cela s’est traduit par le recours à des outils qui fonctionnent le plus simplement possible et qui ne souffrent pas de problème de connexion. Autrement dit, nous avons accru notre dépendances aux services des GAFAM pour pouvoir travailler collectivement à distance. La surcharge de travailleurs en télétravail a rendu les alternatives libres rapidement inutilisables. A défaut de pouvoir utiliser un outil comme Etherpad, nous utilisons donc un Google doc. Malheureusement, les logiciels libres n’ont pas la puissance de feu des outils des GAFAM, ce n’est en aucun cas un reproche. Que les choses soient claires, je n’accable pas les développeurs qui consacrent toute leur énergie à développer ces outils parfois sur leur temps libre ou seul dans leur coin. Je suis même très reconnaissant. J’évoque juste mon expérience professionnelle dans le contexte du confinement et comment cette situation porte atteinte à mes valeurs éthiques du numérique.

On pourrait m’objecter qu’il est possible de déployer des instances de ces logiciels collaboratifs. C’est tout à fait vrai mais c’est une option qui n’est pas accessible à tous. Certes il y a de la documentation à foison qui explique comment installer une instance de Jitsi ou un pad mais les compétences d’administration système ne se limitent pas à une l’installation hasardeuse. Les questions relatives à la maintenance ou à la sécurité ne s’improvisent pas.  Comment faire pour comprendre un fichier de logs ? En conséquence, si on n’est pas un geek barbu, l’accès à des outils respectueux de la vie privée en temps de confinement n’est pas un luxe que tout le monde peut se permettre. De même, tout le monde ne peut pas s’offrir un abonnement Premium à des outils qui disposent d’une politique de confidentialité digne de ce nom. La bataille pour le droit au respect de la vie privée en ligne est intrinsèquement liée à des questions sociales. Enfin, combien d’entre-nous utilisons notre propre matériel pendant le télétravail ? Nous nous mettons en danger en prenant le risque de compromettre des données produites dans le cadre de notre activité professionnelle mais aussi des données présentes sur notre machine.

Cette situation de crise sanitaire rend plus inintelligible le discours de promotion des logiciels libres ou des alternatives respectueuses de la vie privée. En temps normal, ce n’est déjà pas simple de faire entendre ce discours. Ô combien j’essaie pourtant dès que l’occasion se présente. L’effet de réseaux qui s’applique à Facebook et qui rend difficile la bascule vers des réseaux sociaux respectueux de la vie privée de leurs utilisateurs est démultiplié avec le confinement.

J’utilise Signal régulièrement mais avec peu de personnes de mon entourage parce que la majorité a l’habitude d’utiliser WhatsApp, le SMS ou d’autres outils qui présentent plus de risques pour notre vie privée. En temps de confinement où le besoin de lien social et d’échanges s’exprime avec encore plus de vigueur, c’est encore plus difficile d’inciter son entourage à basculer vers des outils plus safe. Non pas que l’argument de la vie privée ne les intéresse pas mais parce que les usages sont tellement installés qu’ils sont difficiles à faire évoluer. Avec le confinement, cette tendance se renforce encore un peu plus.

L’usage de la visioconférence, à des fins professionnelles ou personnelles, explose en raison du confinement. La question de l’outil est crucial. Une fois encore, nous sommes condamnés à recourir à des Skype, des Zoom, des Facebook Messenger, des Hangouts qui exposent et mettent en péril notre intimité numérique. Le refus de recourir à ces outils en ces temps de confinement peut conduire à une marginalisation et à un isolement parce que la plupart des gens souhaitent disposer d’outils opérationnels le plus rapidement possible. Ce désir conduit à utiliser les outils  qui compromettent notre vie privée et nos données personnelles. Ceci est également la preuve que mes données personnelles n’existent qu’au travers de ma relation avec un tiers. « La vie privée a cessé d’être un droit individuel pour devenir une négociation collective » et cela n’a jamais été aussi juste.

L’ALA vient de mettre à jour son fameux Bill of rights. Ce document constitue un mantra pour les bibliothécaires américains avec une dimension éthique très forte. Il s’agit d’un document qui définit les principes de bases qui doivent guider le fonctionnement d’une bibliothèque. Ce document a été adopté en 1939 pour la première fois et a régulièrement été amendé. L’association vient d’apporter un amendement relatif à la vie privée qui dit ceci :

« Toute personne, indépendamment de son origine, de son âge, de ses antécédents, de ses opinions, dispose d’un droit à la vie privée et à la confidentialité quand elle utilise les services de la bibliothèque. Les bibliothèques devraient défendre, éduquer et protéger la vie privée des gens, en sécurisant toutes les données d’utilisation des bibliothèques, y compris les renseignements personnels identifiables. »

Cet amendement n’est pas qu’une simple déclaration d’intention. Comme le rappelle un des contributeurs de ce nouvel article, les bibliothécaires du pays vont pouvoir s’appuyer sur ce document de référence pour mettre à jour localement leur politique de confidentialité ainsi que leur pratique professionnelle favorisant la protection des données personnelles des usagers.

« D’un bout à l’autre du territoire, les bibliothécaires disposent désormais du soutien nécessaire pour protéger et défendre le droit à la vie privée de leurs usagers ».

A travers cet amendement, l’ALA envoie un signal fort à la profession. Toutefois, on manquera pas de noter une certaine contradiction de la part de l’ALA qui a récemment annoncé un partenariat avec Google. C’est facile de les attaquer là-dessus mais cette contradiction peut se justifier par des raisons très pragmatiques : prendre l’argent pour pouvoir mener des actions et sensibiliser à la question de l’intimité numérique. Ce reproche est d’ailleurs fait à d’autres organisations comme Mozilla qui peut continuer à mener des actions et développer des projets grâce au mécénat de Google. Retenir cette contradiction reviendrait à gommer toutes les autres initiatives que l’ALA peut conduire qui participent à une prise de conscience au sein de la profession. Ce serait aussi réduire et discréditer les actions menées localement par des bibliothécaires qui prennent leur bâton de pèlerin pour tenter de sensibiliser les usagers à la problématique de la vie privée.

On ne sauvera pas le monde

J’ai eu le plaisir d’intervenir cette semaine dans le cadre d’une journée professionnelle organisée conjointement par l’agence de coopération des métiers du livre en Normandie et la médiathèque départementale de l’Eure sur les données personnelles et les bibliothèques. Les échanges avec le public ont fait ressortir le constat que nous sommes prêts à agir en tant que professionnels mais notre action est plus proche du colibri que d’un raz-de-marée qui transforme en profondeur les usages. Ce constat est juste mais tout simplement parce que nous n’en avons pas la capacité. Ce combat collectif nécessite d’impliquer différents acteurs et notamment les pouvoirs publics. L’Etat organise et fournit une instruction à tous pour que chacun soit en capacité de lire, écrire, compter. (Bien évidemment, c’est la théorie et la réalité démontre que ce n’est pas le cas). Les pouvoirs publics mettent en place, par exemple, des dispositifs de sensibilisation aux dangers de la route avec l’éducation routière. Certes ces dispositifs sont incomplets mais sont portés par des politiques publiques qui offrent une visibilité à ces thématiques. Or pour l’intimité numérique, nous souffrons d’un manque de volonté de la part des pouvoirs publics. Bien au contraire, nous assistons actuellement à un processus de dé-tricotage des libertés individuelles et du respect des conditions nécessaires à notre intimité numérique. La récente loi anti-casseurs ou les récentes révélations sur les écoutes téléphoniques de manifestants rappelant la grande époque de la Stasi montrent que notre intimité est bafouée. Nous, professionnels des l’information, ne pouvons pas inverser cette tendance. Cependant, je suis convaincu que nous pouvons semer des graines qui porteront peut-être leurs fruits. Au regard de nos missions qui consistent à fournir un accès libre, neutre et équitable à l’information, à faire circuler les connaissances et favoriser l’acquisition de savoirs qui participent à l’équilibre d’une société démocratique où chacun a sa place, nous avons tout intérêt à mener des actions visant à faire prendre conscience de l’importance de l’intimité numérique. L’intimité, numérique ou non d’ailleurs, c’est ce qu’on décide de partager ou non avec des personnes ou des groupes définis. On voit bien qu’actuellement entre les GAFAM et la surveillance des agences de renseignements ce droit nous est ôté. L’intimité est la barrière qui nous permet de penser. Une société constituée de citoyens qui ne peuvent plus penser est une société déviante. Or les bibliothèques n’ont pas de place dans une société déviante. Alors prenons conscience collectivement et professionnellement de la nécessité de protéger les données personnelles de nos usagers pour continuer à donner du sens à notre métier.

Bonus

Dans le cadre du festival des libertés numériques organisés par les bibliothécaires de Rennes, j’ai animé un atelier pour les ados dans la médiathèque où je travaille. Je mets quelques ressources à disposition si jamais vous souhaitez vous en inspirer pour organiser ce genre d’événement. Cet atelier s’est déroulé sous la forme d’un parcours avec des minis ateliers que je présente ci-dessous, les participants peuvent naviguer d’un atelier à l’autre dans le sens qu’ils souhaitent.

Pour commencer, je me suis appuyé sur l’exposition Data Detox réalisée par l’EPFL Les premiers panneaux de l’expo ont constitué le point dé départ de l’atelier. Cela me semble intéressant pour définir le contexte et faire écho aux préjugés qu’ils peuvent avoir (« je n’ai rien à cacher »).

Puis ensuite un des ateliers abordait la question de la géolocalisation. Après avoir pris connaissance de la façon dont notre téléphone trahit notre position géographique, je leur ai fait un petit test avec l’application Google maps. L’objectif est de leur montrer comment cette appli collecte nos déplacements sans que nous en ayons conscience parce qu’elle est configurée par défaut de cette façon. La réaction des participants a été unanime : ils étaient tous en PLS. Pour ne pas les laisser dans leur torpeur, je les ai invités à désactiver le tracking de maps et à télécharger l’application OSMand+.

Une autre activité portait sur les demandes d’autorisations des applications. L’objectif de cet atelier consiste à faire prendre conscience que certaines applications sont très intrusives et demandent des autorisations d’accès sur le téléphone qui ne sont pas légitimes. A partir d’une tablette mis à disposition, le participant installe un certain nombre d’applications sur l’appareil. Ensuite, il installe l’application Exodus Privacy pour voir les trackeurs et les demandes d’autorisations abusives des applications précédemment téléchargées. Téléchargez le support de cet atelier : Des applis un peu trop curieuses

Une des activités portaient sur le tracking publicitaire lié à la navigation sur le web. L’objectif est de leur faire prendre conscience de ce qu’est le tracking et comment il se manifeste. Pour cet atelier, je me suis appuyé sur l’extension Lightbeam (ou Kimetrak) de Firefox pour révéler tous les trackers qu’il peut y avoir quand on navigue sur un site. Les réactions des participants étaient assez chouettes. Certains ont eu l’idée d’aller visiter le site qu’ils utilisent au collège pour leurs devoirs et la correspondance avec leurs profs. Ils n’ont pas été déçus du résultat ! Téléchargez le support de cet atelier : Le tracking.

Ensuite un des ateliers proposés concernait la question des métadonnées. L’objectif consiste à leur montrer en quoi les métadonnées compromettent notre intimité numérique et portent atteinte à notre vie privée sans avoir besoin d’accéder aux contenus. Cet atelier se décompose en deux temps : un questionnaire puis une vidéo pour tout comprendre sur les métadonnées. Je me suis servi de cette vidéo du journal Le Monde qui a été réalisée au moment du vote sur la loi renseignement. Cet atelier était accompagné d’un second sur les métadonnées associées aux photos (EXIF) afin de montrer comment une photo peut révéler des informations sur nous. Télécharger le support de cet atelier : Les métadonnées

Un des ateliers portait sur le chiffrement et plus précisément sur le chiffrement de données dans des espaces de stockage en ligne type Google Drive, DropBox ou OneDrive à partir du logiciel Cryptomator. (On peut utiliser également CryFS si on est sous un environnement Linux ou MacOS). Il est commun d’utiliser ce genre de service en ligne quand on dispose d’un compte gmail ou hotmail. Cette solution peut être utilisée si on n’est pas prêt à se lancer dans des solutions d’auto-hébergement qui peuvent être effrayantes quand on ne connaît pas. Grâce à Cryptomator, on peut déposer des fichiers dans son Drive sans que Google puisse accéder au contenu des documents. Télécharger le support de cet atelier : Chiffrez vos données dans le cloud

Un dernier atelier abordait la question du DNS. En effet les serveurs DNS compromettent notre intimité dans la mesure où le fournisseur du serveur DNS sait sur quels sites nous allons. Je vous invite à lire cet article de Korben pour comprendre rapidement de quoi il s’agit (ainsi que le livre Cyberstructure de Stéphane Bortzmeyer publié chez C&F éditions). Généralement, les serveurs DNS configurés par défaut sont ceux de Google (8.8.8.8 et 8.8.4.4). L’objectif de cet atelier était de modifier le DNS d’une connexion wifi à partir d’une tablette mise à disposition. Télécharger le support de cet atelier :Changer le DNS

Enfin, un ordinateur était accessible avec l’édition spéciale des Incollables réalisée en partenariat avec la CNIL pour tester les connaissances des ados et de ce qu’ils ont retenu après être passés sur les différents ateliers. J’avais mis en place également un atelier sur les conditions générales d’utilisation à partir de l’extension TOS;Dr. Mais ce n’était pas satisfaisant parce qu’elle est en anglais et n’indique pas systématiquement clairement le contenu des CGU des plateformes. Globalement, cet atelier est plutôt positif et assez intéressant à mener. Il permet d’aborder les questions des données personnelles en évitant l’écueil du cours magistral qui peut devenir assez ennuyeux pour des ados. Si vous avez des questions, n’hésitez pas à passer les commentaires !

L’article L’American Library Association rappelle la nécessité de défendre la vie privée des usagers est apparu en premier sur Biblio Numericus.

2018 a été marquée par l’entrée en vigueur du RGPD qui marque un tournant dans la bataille de la protection des données personnelles. Bien qu’imparfait, ce règlement a le mérite de recentrer le débat et de remettre la question des données personnelles et de l’intimité au coeur du débat. Certes un grand travail doit encore être mené pour arriver à une prise de conscience collective qui passe le cap de l’indignation pour franchir celui de l’action. Pour les professionnels des bibliothèques, cette heure a peut-être sonnée et plusieurs éléments invitent à le croire.

Le mois de janvier 2019 a été l’occasion d’inaugurer la deuxième édition du Festival des libertés numériques porté par les bibliothécaires de Rennes. Pendant 15 jours, des événements consacrés à la question de la surveillance, de la collecte des données personnelles et des atteintes portées aux libertés numériques sont organisés. Conférences, ateliers, projections, discussion, autant d’occasions pour les bibliothécaires de se positionner sur ce terrain et de démontrer le rôle qu’ils ont à jouer dans la défense des libertés numériques. Chaque atteinte à la liberté d’expression ou d’information est une remise en question de notre mission et de nos raisons d’exister dans une société démocratique.

Ce sentiment que 2019 sera consacrée à la question de la vie privée dans l’agenda des bibliothécaires est renforcé par le projet de séminaire de l’Inspection Générale des Bibliothèques. Le second séminaire organisé par la prestigieuse instance portera sur les bibliothèques et la surveillance. Elle fait suite à la polémique qui a éclaté l’an dernier suite à la parution d’une tribune dans la revue Bibliothèque(s) de l’ABF. (Sans compter que l’ABF dispose désormais d’un nouveau bureau. Gageons que ce dernier soit plus sensible à la question de la vie privée et de la défense des libertés numériques.)

Ravi de voir que l'IGB décide d'organiser des séminaire, reste à savoir si c'est ouvert à tous. "Le prochain séminaire de l'IGB se déroulera en mai 2019 sur le thème "bibliothèques et surveillance" #privacy #IntimitéNumérique https://t.co/nHeCczEk6a

— Fourmeux Thomas (@fourmeux) November 19, 2018

Enfin, le dernier élément qui m’invite à penser (à rêver) que 2019 sera une année charnière est le cycle de formation porté par la bibliothèque départementale de Gironde sur les bibliothèques et les données personnelles. J’ai eu l’occasion d’y intervenir et merci à Lisa Ferrer et l’équipe de la BD de Gironde pour l’invitation et l’organisation de cette journée. La matinée a été animée par le délégué à la protection des données personnelles du département Gilles Briard qui a recontextualisé le RGPD et les conséquences pour les bibliothèques. En évitant tout discours alarmiste ou anxiogène, il a rappelé que l’objectif prioritaire pour les bibliothécaires était de parvenir à atteindre 90% de mise en conformité exigé par le RGPD. Si vous souhaitez avoir un aperçu de cette journée, je vous invite à parcourir ce framastory réalisé pour l’occasion ou bien ce fil twitter avec le hashtag #databib33.

Les bibliothécaires de Gironde accompagné de Gilles Briard ont réalisé un vademecum de mise en conformité que je vous invite à lire. Il constitue un guide clair et compréhensible pour vous accompagner dans la voie de la mise en conformité RGPD. Il complète la synthèse que j’avais publiée sur ce blog il y a quelques temps. En 5 pages, ce document sera en mesure de répondre à vos questions concernant les mentions légales, les délais de conservation des données ou encore une newsletter « compliant« . Cela peut constituer une aide précieuse si votre collectivité ne s’est pas encore dotée d’un DPO.

Bonus

Le support de mon intervention

L’article 2019, intimité numérique et données personnelles : le combat des bibliothécaires ? est apparu en premier sur Biblio Numericus.

Dans un rapport publié récemment, la Chambre de commerce régionale de Toronto a suggéré que la Toronto Public Library soit chargée de gérer les données produites dans le cadre du projet de ville intelligente piloté par Sidewalk Lab’s, filiale d’Alphabet la maison-mère de Google. (Pour en savoir plus sur ce projet, lire l’article d’Usbek et Rika) En effet, le groupe de pilotage semble préoccupé par la question de la gestion des données des citoyens de Toronto qui seront captées et exploitées pour faire évoluer la ville en fonction de ses usages. Ce projet de « smart city » suscite naturellement des craintes concernant la protection des données personnelles des citoyens, la surveillance et les atteintes à la vie privée mais aussi la gouvernance des données. Qui détiendra la propriété de ce big data ?

Le Vice-Président de la Chambre de commerce Brian Kelcey a déclaré que cette proposition n’était pas nécessairement celle qui serait retenue mais avait plutôt pour objectif de faire avancer la situation en proposant une idée originale et créative. Même si ce n’est qu’une simple proposition, la Chambre de Commerce a tout de même produit un document de 14 pages sur la possibilité que la bibliothèque publique de Toronto devienne un hub de gestion des données de la future « smart city ».

La bibliothèque de Toronto a été évoquée pour plusieurs raisons. D’une part, elle dispose d’un capital confiance auprès de la population par sa capacité à fournir un accès libre et équitable à l’information et à ses services. Et d’autre part, la bibliothèque, en tout cas à Toronto, est perçue comme une institution qui possède une certaine expertise en matière de gestion de l’information et dans le domaine de la protection de la vie privée. De son côté SideWalk Lab’s a proposé de confier la gestion des données générées dans le cadre la « smart city » à un organisme indépendant grâce un transfert de propriété soumis à des conditions d’usage et/ou de durée. Bien évidemment, SideWalk Lab’s n’a pas particulièrement approuvé cette idée de déléguer la gouvernance des données aux bibliothèques de Toronto. N’en déplaise à Google, la Chambre de Commerce a déterminé que seule la bibliothèque réunit les trois critères (Expertise en gestion de données, protection de la vie privée, et confiance).

The Board recommends that responsibility and authority for developing a Toronto Data Hub and related policies be assigned to the Toronto Public Library (TPL)

Dans son rapport, la Chambre des Commerces établit un certain nombre de recommandations. L’une d’entre elles positionnent clairement la bibliothèque au cœur du projet et constitue un nouvel éventail d’action de la bibliothèque en lui attribuant de nouvelles missions.

La Toronto Public Library devrait définir le mode de gouvernance du Hub de données ainsi que les règles et protocoles liés à l’utilisation des données. (quels types de données collectées et comment elles peuvent être utilisées).

Ce document est intéressant dans la mesure où il accorde un rôle stratégique et pilote à la bibliothèque à l’échelle de son territoire. Il fait de la bibliothèque un acteur majeur puisqu’il concerne l’ensemble des habitants : tout le monde se déplace dans les rues et sera soumis aux effets de la « smart city ». Si le projet aboutit, la bibliothèque fera office de garde-fou contre les dérives liées à l’exploitation des données personnelles de la population. Le rapport insiste d’ailleurs sur les missions des bibliothèques en matière de protection des données personnelles. Enfin, cela offre une opportunité d’évolution pour les bibliothèques qui leur permettrait de se positionner comme un acteur important dans l’économie numérique alimentée à coups de big data.

L’article Positionner la bibliothèque au coeur de la « smart city » est apparu en premier sur Biblio Numericus.

J’ai eu le plaisir d’intervenir lors d’une journée consacrée aux pratiques numériques  pour parler de libertés numériques et des bibliothèques. Merci à Lionel Dujol pour cette invitation. L’objectif de mon propos était de saisir l’importance pour les bibliothèques de se positionner comme acteur engagé pour la défense des libertés numériques des usagers dans un contexte de surveillance économique (GAFAM) ou politique (Etats). Pour bien comprendre pourquoi les bibliothécaires sont directement concernées par cette problématique, il est important d’avoir un cadre de pensée délimité par les missions des bibliothèques. Sur le plan symbolique mais aussi pratique, les bibliothèques ont tout intérêt à devenir des sanctuaires de la vie privée et accompagner les usagers dans la compréhension de ces nouveaux enjeux d’intimité numérique collective. Les bibliothèques participent à la construction du citoyen par leur capacité à donner accès et à faire circuler l’information nécessaire dans une société démocratique. Ainsi, par l’utilisation des collections ou des technologies de l’information mises à leur disposition, les usagers ont la possibilité de s’informer et éventuellement de prendre part aux débats qui animent la société. Mais cela est possible uniquement si l’accès est affranchi de toute censure (économique, politique ou religieuse). Si les bibliothèques veulent continuer à être des lieux d’idées, de pluralisme et d’échanges, elles ont le devoir de garantir un accès libre, ouvert et neutre à l’information. Autrement dit, elles ne doivent appliquer ni censure ni surveillance et protéger la diffusion des idées.

L’article Support de conférence libertés numériques et bibliothèques est apparu en premier sur Biblio Numericus.